Un nuevo rootkit encubierto del kernel de Linux llamado registro del sistema<\/strong> ha sido detectado en desarrollo en la naturaleza y ocultando una carga \u00fatil maliciosa que un adversario puede requisar de forma remota utilizando un paquete de tr\u00e1fico de red m\u00e1gica<\/a>.<\/p>\n “El rootkit Syslogk se basa en gran medida en Adore-Ng, pero incorpora nuevas funcionalidades que hacen que la aplicaci\u00f3n en modo usuario y el rootkit del kernel sean dif\u00edciles de detectar”, dijeron los investigadores de seguridad de Avast, David \u00c1lvarez y Jan Neduchal. dijo<\/a> en un informe publicado el lunes.<\/p>\n Adore-Ng, un rootkit de c\u00f3digo abierto<\/a> disponible desde 2004, equipa al atacante con control total sobre un sistema comprometido. Tambi\u00e9n facilita los procesos de ocultaci\u00f3n, as\u00ed como artefactos maliciosos personalizados, archivos e incluso el m\u00f3dulo del kernel, lo que dificulta su detecci\u00f3n.<\/p>\n “El m\u00f3dulo comienza conect\u00e1ndose a varios sistemas de archivos. Desentierra el inodo para el sistema de archivos ra\u00edz y reemplaza ese inodo. leerdir()<\/a> puntero de funci\u00f3n con uno propio,” LWN.net se\u00f1alado<\/a> en el momento. “La versi\u00f3n de Adore funciona como la que reemplaza, excepto que oculta los archivos que pertenecen a un usuario e ID de grupo espec\u00edficos”.<\/p>\n Adem\u00e1s de sus capacidades para ocultar el tr\u00e1fico de red de utilidades como netstat<\/a>dentro del rootkit hay una carga llamada “PgSD93ql” que no es m\u00e1s que un troyano de puerta trasera compilado basado en C llamado Rekoobe<\/a> y se activa al recibir un paquete m\u00e1gico.<\/p>\n “Rekoobe es una pieza de c\u00f3digo implantada en servidores leg\u00edtimos”, dijeron los investigadores. “En este caso, est\u00e1 incrustado en un servidor SMTP falso, que genera un shell cuando recibe un comando especialmente dise\u00f1ado”.<\/p>\n Espec\u00edficamente, Syslogk est\u00e1 dise\u00f1ado para inspeccionar paquetes TCP que contienen el n\u00famero de puerto de origen 59318 para iniciar el malware Rekoobe. Detener la carga \u00fatil, por otro lado, requiere que el paquete TCP cumpla con los siguientes criterios:<\/p>\n Por su parte, Rekoobe se hace pasar por un servidor SMTP aparentemente inocuo pero en realidad se basa en un proyecto de c\u00f3digo abierto llamado Concha diminuta<\/a> e incorpora sigilosamente un comando de puerta trasera para generar un shell que hace posible ejecutar comandos arbitrarios.<\/p>\n Syslogk se suma a una lista creciente de malware evasivo de Linux recientemente descubierto, como BPFDoor y Symbiote, que destaca c\u00f3mo los ciberdelincuentes se dirigen cada vez m\u00e1s a los servidores Linux y la infraestructura de la nube para lanzar campa\u00f1as de ransomware, ataques de cryptojacking y otras actividades il\u00edcitas.<\/p>\n “Los rootkits son piezas peligrosas de malware”, dijeron los investigadores. “Los rootkits de kernel pueden ser dif\u00edciles de detectar y eliminar porque estas piezas de malware se ejecutan en una capa privilegiada”.<\/p>\n <\/p>\n<\/div>\n![\"La](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/05\/La-operacion-del-ransomware-Conti-se-cierra-despues-de-dividirse.png\")
<\/a><\/div>\n\n
![\"La](\"https:\/\/thehackernews.com\/new-images\/img\/b\/R29vZ2xl\/AVvXsEj6zHdXd3qpCksF0nkMkrjsOzaw-cxZGPHWoTEp9y7VPIeyPBFGsmIyIX8NTkqI1IDqnIXYnsZuIh4rc9f8TNUn7ndAZqtXc-t58X2oueTaL4Ijb4hgH-b183QvQ0ienXIipuOsqeLP5b8I2prKmp0RWvdZQgnKehVRKbqRQpin1JgfwlZeE_IB4EmesQ\/s1600\/crowdsec-728.jpg\")
<\/a><\/div>\n