Un nouveau rootkit secret du noyau Linux nommé Syslog a été repéré en cours de développement dans la nature et masquant une charge utile malveillante qui peut être réquisitionnée à distance par un adversaire à l’aide d’un paquet de trafic réseau magique.
« Le rootkit Syslogk est fortement basé sur Adore-Ng mais intègre de nouvelles fonctionnalités rendant l’application en mode utilisateur et le rootkit du noyau difficiles à détecter », ont déclaré David Álvarez et Jan Neduchal, chercheurs en sécurité chez Avast. a dit dans un rapport publié lundi.
Adore-Ng, un rootkit open source disponible depuis 2004, donne à l’attaquant un contrôle total sur un système compromis. Il facilite également le masquage des processus ainsi que les artefacts malveillants personnalisés, les fichiers et même le module du noyau, ce qui le rend plus difficile à détecter.
« Le module commence par s’accrocher à divers systèmes de fichiers. Il déterre l’inode du système de fichiers racine et remplace cet inode readdir() pointeur de fonction avec l’un des siens, » LWN.net c’est noté à l’époque. « La version Adore fonctionne comme celle qu’elle remplace, sauf qu’elle masque tous les fichiers appartenant à un utilisateur et à un ID de groupe spécifiques. »
Outre ses capacités à masquer le trafic réseau des utilitaires tels que netstathébergé dans le rootkit se trouve une charge utile nommée « PgSD93ql » qui n’est rien d’autre qu’un cheval de Troie de porte dérobée compilé basé sur C nommé Rekoobe et se déclenche à la réception d’un paquet magique.
« Rekoobe est un morceau de code implanté dans des serveurs légitimes », ont déclaré les chercheurs. « Dans ce cas, il est intégré dans un faux serveur SMTP, qui génère un shell lorsqu’il reçoit une commande spécialement conçue. »
Plus précisément, Syslogk est conçu pour inspecter les paquets TCP contenant le numéro de port source 59318 afin de lancer le malware Rekoobe. L’arrêt de la charge utile, d’autre part, nécessite que le paquet TCP réponde aux critères suivants –
- Le champ réservé de l’en-tête TCP est défini sur 0x08
- Le port source est compris entre 63400 et 63411 (inclus)
- Le port de destination et l’adresse source sont les mêmes que ceux utilisés lors de l’envoi du paquet magique pour démarrer Rekoobe, et
- Contient une clé (« D9sd87JMaij ») codée en dur dans le rootkit et située dans un décalage variable du paquet magique
Pour sa part, Rekoobe se fait passer pour un serveur SMTP apparemment anodin mais est en réalité basé sur un projet open-source appelé Petite coquille et incorpore furtivement une commande de porte dérobée pour générer un shell qui permet d’exécuter des commandes arbitraires.
Syslogk s’ajoute à une liste croissante de logiciels malveillants Linux évasifs récemment découverts tels que BPFDoor et Symbiote, soulignant comment les cybercriminels ciblent de plus en plus les serveurs Linux et l’infrastructure cloud pour lancer des campagnes de ransomware, des attaques de cryptojacking et d’autres activités illicites.
« Les rootkits sont des logiciels malveillants dangereux », ont déclaré les chercheurs. « Les rootkits du noyau peuvent être difficiles à détecter et à supprimer car ces logiciels malveillants s’exécutent dans une couche privilégiée. »