No Comments

Neues Syslogk-Linux-Rootkit ermöglicht es Angreifern, es mithilfe von „Magic Packets“ fernzusteuern

 

Ein neues verborgenes Linux-Kernel-Rootkit namens Syslogk wurde in freier Wildbahn in der Entwicklung gesichtet und tarnt eine bösartige Payload, die von einem Angreifer mithilfe eines magisches Netzwerkverkehrspaket.

„Das Syslogk-Rootkit basiert stark auf Adore-Ng, enthält aber neue Funktionen, die die Benutzermodusanwendung und das Kernel-Rootkit schwer zu erkennen machen“, so die Avast-Sicherheitsforscher David Álvarez und Jan Neduchal sagte in a Bericht am Montag veröffentlicht.

Adore-Ng, ein Open-Source-Rootkit, das seit 2004 erhältlich ist, rüstet den Angreifer aus mit voller Kontrolle über ein kompromittiertes System. Es erleichtert auch das Verstecken von Prozessen sowie benutzerdefinierten schädlichen Artefakten, Dateien und sogar dem Kernelmodul, wodurch es schwieriger zu erkennen ist.

„Das Modul beginnt damit, sich in verschiedene Dateisysteme einzuklinken. Es gräbt den Inode für das Root-Dateisystem aus und ersetzt diesen Inode readdir() Funktionszeiger mit einem eigenen,” LWN.net damals notiert . “Die Adore-Version verhält sich wie die, die sie ersetzt, außer dass sie alle Dateien verbirgt, die einem bestimmten Benutzer und einer bestimmten Gruppen-ID gehören.”

Abgesehen von seiner Fähigkeit, Netzwerkverkehr vor Dienstprogrammen wie netstat zu verbergen, die im Rootkit untergebracht sind ist eine Payload namens „PgSD93ql“, die nichts anderes ist als ein C-basierter kompilierter Backdoor-Trojaner namens Rekoobe und wird beim Erhalt eines magischen Pakets ausgelöst.

„Rekoobe ist ein Stück Code, das in legitime Server implantiert ist“, sagten die Forscher. “In diesem Fall ist es in einen gefälschten SMTP-Server eingebettet, der eine Shell erzeugt, wenn er einen speziell gestalteten Befehl erhält.”

Insbesondere ist Syslogk darauf ausgelegt, TCP-Pakete zu untersuchen, die die Quellportnummer 59318 enthalten, um die Rekoobe-Malware zu starten. Das Stoppen der Nutzlast erfordert andererseits, dass das TCP-Paket die folgenden Kriterien erfüllt:

  • Reserviertes Feld des TCP-Headers ist auf 0x08 gesetzt
  • Quellport liegt zwischen 63400 und 63411 (einschließlich)
  • Sowohl der Zielport als auch die Quelladresse sind die gleichen, die beim Senden des magischen Pakets zum Starten von Rekoobe verwendet wurden, und
  • Enthält einen Schlüssel (“D9sd87JMaij”), der im Rootkit fest codiert ist und sich in einem variablen Offset des Magic Packet befindet

Rekoobe seinerseits gibt sich als scheinbar harmloser SMTP-Server aus, basiert aber in Wirklichkeit auf einem Open-Source-Projekt namens Tiny SHell und integriert heimlich einen Backdoor-Befehl zum Spawnen einer Shell, die es ermöglicht, beliebige Befehle auszuführen.

Syslogk fügt sich in eine wachsende Liste neu entdeckter, ausweichender Linux-Malware ein, darunter BPFDoor und Symbiote, die hervorheben, wie Cyberkriminelle zunehmend auf Linux-Server und Cloud-Infrastrukturen abzielen, um Ransomware-Kampagnen, Kryptojacking-Angriffe und andere illegale Aktivitäten zu starten.

„Rootkits sind gefährliche Malware“, sagten die Forscher. „Kernel-Rootkits können schwer zu erkennen und zu entfernen sein, da diese Malware auf einer privilegierten Ebene ausgeführt wird.“

 

Quelle: TheHackerNews

Das könnte dir auch gefallen

More Similar Posts

Leave a Reply

Your email address will not be published.

Bitte füllen Sie dieses Feld aus.
Bitte füllen Sie dieses Feld aus.
Please enter a valid email address.