Adlı yeni bir gizli Linux çekirdek rootkit sistem günlüğü vahşi doğada geliştirme aşamasında ve bir düşman tarafından uzaktan kumanda edilebilen kötü niyetli bir yükü gizlediği tespit edildi. sihirli ağ trafiği paketi.
Avast güvenlik araştırmacıları David Álvarez ve Jan Neduchal, “Syslogk rootkit, ağırlıklı olarak Adore-Ng’ye dayanmaktadır, ancak kullanıcı modu uygulamasını ve çekirdek rootkit’i algılamayı zorlaştıran yeni işlevler içermektedir.” söz konusu Pazartesi günü yayınlanan bir raporda.
Adore-Ng, bir açık kaynaklı rootkit 2004’ten beri mevcuttur, saldırgana, güvenliği ihlal edilmiş bir sistem üzerinde tam kontrol sağlar. Aynı zamanda, özel kötü amaçlı yapıtlar, dosyalar ve hatta çekirdek modülünün yanı sıra gizleme süreçlerini de kolaylaştırarak algılamayı zorlaştırır.
“Modül, kendisini çeşitli dosya sistemlerine bağlayarak başlar. Kök dosya sistemi için düğümü çıkarır ve bu düğümün yerini alır. oku() işlev işaretçisi,” LWN.net kayıt edilmiş o zaman. “Adore sürümü, belirli bir kullanıcıya ve grup kimliğine ait dosyaları gizlemesi dışında, yerini aldığı gibi çalışır.”
Gibi yardımcı programlardan ağ trafiğini gizleme yeteneklerinin yanı sıra netstatrootkit içinde barındırılan “PgSD93ql” adlı bir yüktür ve bu, C tabanlı derlenmiş bir arka kapı truva atından başka bir şey değildir. Rekoobe ve sihirli bir paket alındığında tetiklenir.
Araştırmacılar, “Rekoobe, meşru sunuculara yerleştirilmiş bir kod parçası” dedi. “Bu durumda, özel hazırlanmış bir komut aldığında bir kabuk oluşturan sahte bir SMTP sunucusuna gömülüdür.”
Spesifik olarak, Syslogk, Rekoobe kötü amaçlı yazılımını başlatmak için 59318 numaralı kaynak bağlantı noktasını içeren TCP paketlerini incelemek üzere tasarlanmıştır. Öte yandan yükü durdurmak, TCP paketinin aşağıdaki kriterleri karşılamasını gerektirir –
- TCP başlığının ayrılmış alanı 0x08 olarak ayarlandı
- Kaynak bağlantı noktası 63400 ile 63411 (dahil) arasındadır
- Hem hedef bağlantı noktası hem de kaynak adres, Rekoobe’yi başlatmak için sihirli paket gönderilirken kullanılanla aynıdır ve
- Kök setinde sabit kodlanmış ve sihirli paketin değişken bir uzaklığında bulunan bir anahtar (“D9sd87JMaij”) içerir
Rekoobe, görünüşte zararsız bir SMTP sunucusu gibi görünse de gerçekte minik kabuk ve rastgele komutların yürütülmesini mümkün kılan bir kabuk oluşturmak için gizlice bir arka kapı komutu içerir.
Syslogk, siber suçluların fidye yazılımı kampanyaları, kripto hırsızlığı saldırıları ve diğer yasa dışı faaliyetler başlatmak için giderek artan bir şekilde Linux sunucularını ve bulut altyapısını nasıl hedeflediğini vurgulayarak, BPFDoor ve Symbiote gibi yeni keşfedilen kaçan Linux kötü amaçlı yazılımlarının büyüyen listesine ekliyor.
Araştırmacılar, “Rootkit’ler tehlikeli kötü amaçlı yazılım parçalarıdır” dedi. “Bu kötü amaçlı yazılım parçaları ayrıcalıklı bir katmanda çalıştığından, çekirdek rootkit’lerini algılamak ve kaldırmak zor olabilir.”