{"id":202036,"date":"2022-06-14T19:23:14","date_gmt":"2022-06-14T21:23:14","guid":{"rendered":"https:\/\/teknomers.com\/fr\/le-nouveau-rootkit-syslogk-linux-permet-aux-attaquants-de-le-commander-a-distance-paquets-magiques\/"},"modified":"2022-06-14T19:23:15","modified_gmt":"2022-06-14T21:23:15","slug":"le-nouveau-rootkit-syslogk-linux-permet-aux-attaquants-de-le-commander-a-distance-paquets-magiques","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/le-nouveau-rootkit-syslogk-linux-permet-aux-attaquants-de-le-commander-a-distance-paquets-magiques\/","title":{"rendered":"Le nouveau rootkit Syslogk Linux permet aux attaquants de le commander \u00e0 distance &quot;Paquets magiques&quot;"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both\"><\/div>\n<p>Un nouveau rootkit secret du noyau Linux nomm\u00e9 <strong>Syslog<\/strong> a \u00e9t\u00e9 rep\u00e9r\u00e9 en cours de d\u00e9veloppement dans la nature et masquant une charge utile malveillante qui peut \u00eatre r\u00e9quisitionn\u00e9e \u00e0 distance par un adversaire \u00e0 l&#8217;aide d&#8217;un <a rel=\"nofollow noopener\" href=\"https:\/\/en.wikipedia.org\/wiki\/Wake-on-LAN\" target=\"_blank\">paquet de trafic r\u00e9seau magique<\/a>.<\/p>\n<p>&#8220;Le rootkit Syslogk est fortement bas\u00e9 sur Adore-Ng mais int\u00e8gre de nouvelles fonctionnalit\u00e9s rendant l&#8217;application en mode utilisateur et le rootkit du noyau difficiles \u00e0 d\u00e9tecter&#8221;, ont d\u00e9clar\u00e9 David \u00c1lvarez et Jan Neduchal, chercheurs en s\u00e9curit\u00e9 chez Avast. <a rel=\"nofollow noopener\" href=\"https:\/\/decoded.avast.io\/davidalvarez\/linux-threat-hunting-syslogk-a-kernel-rootkit-found-under-development-in-the-wild\/\" target=\"_blank\">a dit<\/a> dans un rapport publi\u00e9 lundi.<\/p>\n<p>Adore-Ng, un <a rel=\"nofollow noopener\" href=\"https:\/\/github.com\/yaoyumeng\/adore-ng\" target=\"_blank\">rootkit open source<\/a> disponible depuis 2004, donne \u00e0 l&#8217;attaquant un contr\u00f4le total sur un syst\u00e8me compromis.  Il facilite \u00e9galement le masquage des processus ainsi que les artefacts malveillants personnalis\u00e9s, les fichiers et m\u00eame le module du noyau, ce qui le rend plus difficile \u00e0 d\u00e9tecter.<\/p>\n<div class=\"ad_two clear\"><a rel=\"nofollow noopener\" href=\"https:\/\/go.thn.li\/backup-jira\" target=\"_blank\" title=\"DevOps backup\"><img loading=\"lazy\" decoding=\"async\" alt=\"La cyber-s\u00e9curit\u00e9\" class=\"lazyload\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/05\/Nouvelle-variante-Chaos-Ransomware-Builder-quotYashmaquot-Decouvert-a-letat-sauvage.png\" width=\"300\" height=\"250\" \/><\/a><\/div>\n<p>&#8220;Le module commence par s&#8217;accrocher \u00e0 divers syst\u00e8mes de fichiers. Il d\u00e9terre l&#8217;inode du syst\u00e8me de fichiers racine et remplace cet inode <a rel=\"nofollow noopener\" href=\"https:\/\/man7.org\/linux\/man-pages\/man3\/readdir.3.html\" target=\"_blank\">readdir()<\/a> pointeur de fonction avec l&#8217;un des siens,&#8221; LWN.net <a rel=\"nofollow noopener\" href=\"https:\/\/lwn.net\/Articles\/75990\/\" target=\"_blank\">c&#8217;est not\u00e9<\/a> \u00e0 l&#8217;\u00e9poque.  &#8220;La version Adore fonctionne comme celle qu&#8217;elle remplace, sauf qu&#8217;elle masque tous les fichiers appartenant \u00e0 un utilisateur et \u00e0 un ID de groupe sp\u00e9cifiques.&#8221;<\/p>\n<p>Outre ses capacit\u00e9s \u00e0 masquer le trafic r\u00e9seau des utilitaires tels que <a rel=\"nofollow noopener\" href=\"https:\/\/en.wikipedia.org\/wiki\/Netstat\" target=\"_blank\">netstat<\/a>h\u00e9berg\u00e9 dans le rootkit se trouve une charge utile nomm\u00e9e &#8220;PgSD93ql&#8221; qui n&#8217;est rien d&#8217;autre qu&#8217;un cheval de Troie de porte d\u00e9rob\u00e9e compil\u00e9 bas\u00e9 sur C nomm\u00e9 <a rel=\"nofollow noopener\" href=\"https:\/\/malpedia.caad.fkie.fraunhofer.de\/details\/elf.rekoobe\" target=\"_blank\">Rekoobe<\/a> et se d\u00e9clenche \u00e0 la r\u00e9ception d&#8217;un paquet magique.<\/p>\n<p>&#8220;Rekoobe est un morceau de code implant\u00e9 dans des serveurs l\u00e9gitimes&#8221;, ont d\u00e9clar\u00e9 les chercheurs.  &#8220;Dans ce cas, il est int\u00e9gr\u00e9 dans un faux serveur SMTP, qui g\u00e9n\u00e8re un shell lorsqu&#8217;il re\u00e7oit une commande sp\u00e9cialement con\u00e7ue.&#8221;<\/p>\n<p>Plus pr\u00e9cis\u00e9ment, Syslogk est con\u00e7u pour inspecter les paquets TCP contenant le num\u00e9ro de port source 59318 afin de lancer le malware Rekoobe.  L&#8217;arr\u00eat de la charge utile, d&#8217;autre part, n\u00e9cessite que le paquet TCP r\u00e9ponde aux crit\u00e8res suivants &#8211;<\/p>\n<ul>\n<li>Le champ r\u00e9serv\u00e9 de l&#8217;en-t\u00eate TCP est d\u00e9fini sur 0x08<\/li>\n<li>Le port source est compris entre 63400 et 63411 (inclus)<\/li>\n<li>Le port de destination et l&#8217;adresse source sont les m\u00eames que ceux utilis\u00e9s lors de l&#8217;envoi du paquet magique pour d\u00e9marrer Rekoobe, et<\/li>\n<li>Contient une cl\u00e9 (&#8220;D9sd87JMaij&#8221;) cod\u00e9e en dur dans le rootkit et situ\u00e9e dans un d\u00e9calage variable du paquet magique<\/li>\n<\/ul>\n<div class=\"ad_two clear\"><a rel=\"nofollow noopener\" href=\"https:\/\/go.thn.li\/crowdsec-tour-d\" target=\"_blank\" title=\"CyberSecurity\"><img loading=\"lazy\" decoding=\"async\" alt=\"La cyber-s\u00e9curit\u00e9\" class=\"lazyload\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/04\/1650021915_454_Haskers-Gang-donne-gratuitement-le-logiciel-malveillant-ZingoStealer-a-dautres.jpg\" width=\"728\" height=\"90\" \/><\/a><\/div>\n<p>Pour sa part, Rekoobe se fait passer pour un serveur SMTP apparemment anodin mais est en r\u00e9alit\u00e9 bas\u00e9 sur un projet open-source appel\u00e9 <a rel=\"nofollow noopener\" href=\"https:\/\/github.com\/creaktive\/tsh\/\" target=\"_blank\">Petite coquille<\/a> et incorpore furtivement une commande de porte d\u00e9rob\u00e9e pour g\u00e9n\u00e9rer un shell qui permet d&#8217;ex\u00e9cuter des commandes arbitraires.<\/p>\n<p>Syslogk s&#8217;ajoute \u00e0 une liste croissante de logiciels malveillants Linux \u00e9vasifs r\u00e9cemment d\u00e9couverts tels que BPFDoor et Symbiote, soulignant comment les cybercriminels ciblent de plus en plus les serveurs Linux et l&#8217;infrastructure cloud pour lancer des campagnes de ransomware, des attaques de cryptojacking et d&#8217;autres activit\u00e9s illicites.<\/p>\n<p>&#8220;Les rootkits sont des logiciels malveillants dangereux&#8221;, ont d\u00e9clar\u00e9 les chercheurs.  &#8220;Les rootkits du noyau peuvent \u00eatre difficiles \u00e0 d\u00e9tecter et \u00e0 supprimer car ces logiciels malveillants s&#8217;ex\u00e9cutent dans une couche privil\u00e9gi\u00e9e.&#8221;<\/p>\n<p><\/p>\n<\/div>\n<p><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2022\/06\/new-syslogk-linux-rootkit-lets.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Un nouveau rootkit secret du noyau Linux nomm\u00e9 Syslog a \u00e9t\u00e9 rep\u00e9r\u00e9 en cours de d\u00e9veloppement dans la nature et masquant une charge utile malveillante qui peut \u00eatre r\u00e9quisitionn\u00e9e \u00e0 distance par un adversaire \u00e0 l&#8217;aide d&#8217;un paquet de trafic r\u00e9seau magique. &#8220;Le rootkit Syslogk est fortement bas\u00e9 sur Adore-Ng mais int\u00e8gre de nouvelles fonctionnalit\u00e9s [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":202037,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[11865,507,17178,4168,4158,4165,4161,2526,4157,4159,4171,4170,18088,4167,78315,4160,680,4163,4162,9701,78314,30795,4172,4169,78313,4166,4164],"class_list":["post-202036","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-attaquants","tag-aux","tag-commander","tag-comment-pirater","tag-cyber-actualites","tag-cyber-attaques","tag-cyber-mises-a-jour","tag-distance","tag-lactualite-de-la-cybersecurite","tag-lactualite-de-la-cybersecurite-aujourdhui","tag-lactualite-des-hackers","tag-la-securite-des-informations","tag-linux","tag-logiciel-malveillant-de-ransomware","tag-magiquesquot","tag-mises-a-jour-de-la-cybersecurite","tag-nouveau","tag-nouvelles-de-piratage","tag-nouvelles-de-pirates","tag-permet","tag-quotpaquets","tag-rootkit","tag-securite-informatique","tag-securite-internet","tag-syslogk","tag-violation-de-donnees","tag-vulnerabilite-logicielle"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/202036","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=202036"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/202036\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/202037"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=202036"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=202036"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=202036"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}