ΑρχικήsecurityΝέο Linux rootkit malware Syslogk: Ποια τα χαρακτηριστικά του

Νέο Linux rootkit malware Syslogk: Ποια τα χαρακτηριστικά του

Ένα νέο Linux rootkit malware που ονομάζεται «Syslogk» χρησιμοποιείται σε επιθέσεις για την απόκρυψη κακόβουλων διεργασιών, με την χρήση ειδικών δημιουργημένων πακέτων για να αφυπνίσει ένα backdoor που βρίσκεται σε αδράνεια στη συσκευή.

Το malware βρίσκεται επί του παρόντος υπό έντονη ανάπτυξη και οι συντάκτες του φαίνεται να βασίζουν το project τους στο Adore-Ng, ένα παλιό rootkit ανοιχτού κώδικα.

Το Syslogk μπορεί να κάνει force-load τα modules του στον πυρήνα Linux (υποστηρίζονται οι εκδόσεις 3.x), να αποκρύψει directories και την κυκλοφορία δικτύου και τελικά να φορτώσει ένα backdoor που ονομάζεται “Rekoobe”.

Δείτε επίσης: Symbiote malware: Μολύνει όλα τα running processes σε συστήματα Linux

Χρήση μαγικών πακέτων για τη φόρτωση του backdoor

Τα Linux rootkits είναι malware εγκατεστημένο ως kernel modules στο λειτουργικό σύστημα. Μόλις εγκατασταθούν, παρεμποδίζουν τα νόμιμα Linux commands για να φιλτράρουν πληροφορίες που δεν θέλουν να εμφανίζονται, όπως η παρουσία αρχείων, φακέλων ή διεργασιών.

Ομοίως, όταν φορτωθεί για πρώτη φορά ως kernel module, το Syslogk θα αφαιρέσει την καταχώρισή του από τη λίστα των εγκατεστημένων λειτουργικών μονάδων για να αποφύγει τη χειροκίνητη επιθεώρηση. Το μόνο σημάδι της παρουσίας του είναι ένα exposed interface στο σύστημα αρχείων /proc.

Δείτε επίσης: Black Basta ransomware: Η έκδοση Linux στοχεύει διακομιστές VMware ESXi

Syslogk Linux

Πρόσθετες λειτουργίες στο rootkit του επιτρέπουν να κρύβει directories που περιέχουν τα κακόβουλα αρχεία που απορρίπτει στο host, να αποκρύπτει διεργασίες, να αποκρύπτει την κυκλοφορία δικτύου, να επιθεωρεί όλα τα πακέτα TCP και να ξεκινά ή να διακόπτει απομακρυσμένα payloads.

Ένα από τα κρυφά payloads που ανακάλυψε η Avast είναι ένα Linux backdoor που ονομάζεται Rekoobe. Αυτό το backdoor θα παραμείνει σε αδράνεια σε ένα παραβιασμένο μηχάνημα έως ότου το rootkit λάβει ένα “μαγικό πακέτο” από τους απειλητικούς παράγοντες.

Όπως με τα μαγικά πακέτα Wake on LAN, που χρησιμοποιούνται για την αφύπνιση συσκευών που βρίσκονται σε κατάσταση αναστολής λειτουργίας, το Syslogk θα ακούσει ειδικά κατασκευασμένα πακέτα TCP που περιλαμβάνουν ειδικές τιμές πεδίων “Reserved”, αρίθμηση “Source Port”, “Destination Port” και “Source Address” matches και ένα hardcoded κλειδί.

Όταν εντοπιστεί το κατάλληλο μαγικό πακέτο, το Syslogks θα ξεκινήσει ή θα σταματήσει το backdoor σύμφωνα με τις απομακρυσμένες οδηγίες των απειλητικών παραγόντων, ελαχιστοποιώντας δραστικά τις πιθανότητες ανίχνευσης.

Το Rekoobe φορτώνεται στο χώρο λειτουργίας χρήστη, όπου οι ανιχνεύσεις δεν είναι τόσο περίπλοκες ή απίθανες όσο για το Syslogk στο kernel mode, επομένως το να είστε πιο προσεκτικοί με τη φόρτωσή του είναι ζωτικής σημασίας για την επιτυχία του.

Δείτε επίσης: Πως να εγκαταστήσετε τα Linux σε Windows με το VirtualBox;

Το Rekoobe βασίζεται στο TinySHell, ένα άλλο λογισμικό open-source και ευρέως διαθέσιμο, και σκοπός του είναι να δώσει στον εισβολέα ένα remote shell στο παραβιασμένο μηχάνημα.

Syslogk Linux

Αυτό σημαίνει ότι το Rekoobe χρησιμοποιείται για την εκτέλεση εντολών, επομένως οι επιπτώσεις φτάνουν σε ύστατα επίπεδα, συμπεριλαμβανομένης της αποκάλυψης πληροφοριών, της εξαγωγής δεδομένων, των ενεργειών αρχείων, της ανάληψης λογαριασμού και πολλά άλλα.

Θα πρέπει να ανησυχείτε;

Το rootkit Syslogk είναι ένα άλλο παράδειγμα κακόβουλου λογισμικού για συστήματα Linux που προστέθηκαν πάνω από τα πρόσφατα εντοπισμένα Symbiote και BPFDoor, τα οποία και τα δύο χρησιμοποιούν το σύστημα BPF για να παρακολουθούν την κυκλοφορία του δικτύου και να το χειρίζονται δυναμικά.

Τα συστήματα Linux δεν είναι διαδεδομένα στους τακτικούς χρήστες, αλλά υποστηρίζουν μερικά από τα πιο πολύτιμα εταιρικά δίκτυα εκεί έξω, επομένως οι απειλητικοί φορείς αφιερώνουν χρόνο και προσπάθεια για να αναπτύξουν προσαρμοσμένο malware για την αρχιτεκτονική.

Στην περίπτωση του Syslogk, το project βρίσκεται σε πρώιμη φάση ανάπτυξης, επομένως είναι αβέβαιο εάν θα γίνει εκτεταμένη απειλή ή όχι. Ωστόσο, λαμβάνοντας υπόψη τη μυστικότητά του, πιθανότατα θα συνεχίσει να προωθεί νέες και βελτιωμένες εκδόσεις.

Η πιο επικίνδυνη εξέλιξη θα ήταν να κυκλοφορήσει το Syslogk μια έκδοση που υποστηρίζει πιο πρόσφατες εκδόσεις πυρήνα Linux, κάτι που θα διεύρυνε σημαντικά το εύρος στόχευσης.

Πηγή πληροφοριών: bleepingcomputer.com

Teo Ehc
Teo Ehchttps://www.secnews.gr
Be the limited edition.

Εγγραφή στο Newsletter

* indicates required

FOLLOW US

LIVE NEWS