У этого нового вредоносного ПО для Linux есть хитрый способ оставаться скрытым
Руткит активируется только тогда, когда злоумышленник доставляет «магические пакеты», которые запускают бэкдор.
Таинственные хакерские руки печатают на клавиатуре ноутбука.
Недавно обнаруженная скрытая вредоносная программа для Linux под названием Syslogk обеспечивает бэкдор, который остается скрытым на целевой машине до тех пор, пока ее контроллер из любой точки Интернета не передаст так называемые «магические пакеты».
По мнению исследователей Avast, руткит Syslogk Linux содержит трояна-бэкдора, известного как Rekoobe, и использует множество методов, чтобы скрыть бэкдор до тех пор, пока он не понадобится.
К счастью, проанализированная версия Syslogk Avast работает только на старых версиях ядра Linux, но вредоносное ПО, похоже, находится в стадии разработки.
СМОТРИТЕ: Безопасность облачных вычислений: где она находится и куда движется
Вредоносное ПО Rekoobe использовалось группой APT31 или тем, что Microsoft называет Zirconium, спонсируемым государством китайским злоумышленником. Rekoobe основан на TinyShell, проекте с открытым исходным кодом для бэкдора UNIX. В рутките Syslogk есть упоминания о TinyShell, датированные 13 декабря 2018 года.
Между тем, Syslogk основан в первую очередь на китайском рутките ядра с открытым исходным кодом для Linux под названием Adore-Ng, который по состоянию на этот год все еще находился в стадии разработки, но в настоящее время поддерживает только версию ядра Linux 3.x, а не серию ядра 5.x. в настоящее время разрабатывается.
Syslogk добавляет новые функциональные возможности, благодаря которым приложение пользовательского режима и руткит ядра сложнее обнаружить, чем Adore-Ng, который уже может скрывать файлы, свои процессы и модуль ядра.
Исследователи Avast полагают, что эта группа разработала Rekoobe и Syslogk специально для того, чтобы они могли работать рука об руку.
Образец Rekoobe, обнаруженный Avast, был встроен в поддельный почтовый сервер SMPT. Бэкдор срабатывает, когда он получает специально созданные TCP-пакеты или так называемые «магические пакеты» от удаленного злоумышленника. Злоумышленник может использовать Syslogk с магическими пакетами, чтобы удаленно остановить и запустить бэкдор Rekoobe.
Фирма объясняет, что роль магических пакетов влияет на способность Syslogk удаленно запускать Rekoobe в режиме пользовательского пространства.
«Вместо того, чтобы постоянно выполнять полезную нагрузку, она запускается или останавливается удаленно по требованию путем отправки специально созданных пакетов сетевого трафика», — поясняет он.
«Они известны как волшебные пакеты, потому что они имеют особый формат и особые возможности. В этой реализации злоумышленник может инициировать действия, не имея прослушивающего порта на зараженной машине, так что команды каким-то образом «волшебным образом» выполняются в система."
СМОТРИТЕ: Доминируют облачные вычисления. Но безопасность сейчас — самая большая проблема
Несмотря на ограниченную поддержку версий ядра Linux, Avast утверждает, что комбинация Syslogk и Rebooke на поддельном SMTP-сервере представляет собой мощный набор инструментов для злоумышленника.
«Мы заметили, что руткит Syslogk (и полезная нагрузка Rekoobe) идеально работают при скрытом использовании в сочетании с поддельным SMTP-сервером. Подумайте, насколько скрытным это может быть: бэкдор, который не загружается до тех пор, пока на машину не будут отправлены какие-то магические пакеты. При запросе , это похоже на законную службу, спрятанную в памяти, спрятанную на диске, удаленно «магическим» образом выполняемую, спрятанную в сети. Даже если она будет обнаружена во время сканирования сетевых портов, она все равно будет выглядеть законным SMTP-сервером».