Эта новая вредоносная программа руткита для Linux уже нацелена на жертв
15 июня 2022 г.Обнаружен новый руткит, поражающий системы Linux, способный как загружать, так и скрытие, вредоносные программы.
Как выяснили исследователи кибербезопасности из Avast, руткит вредоносное ПО под названием Syslogk основан на старом рутките с открытым исходным кодом под названием Adore-Ng.
Он также находится на относительно ранней стадии (активной) разработки, поэтому еще неизвестно, превратится ли он в полномасштабную угрозу.
Поделитесь своими мыслями по кибербезопасности и получите бесплатную копию Руководства хакера 2022. Помогите нам узнать, как компании готовятся к миру после пандемии COVID-19, и влияние этих действий на их планы кибербезопасности. Введите свой адрес электронной почты в конце этого опроса, чтобы получить книжный журнал стоимостью 10,99 долл. США/10,99 фунта стерлингов.
Когда Syslogk загружается, он сначала удаляет свою запись из списка установленных модулей, а это означает, что единственный способ обнаружить ее — через открытый интерфейс в файловой системе /proc. Помимо сокрытия себя от ручной проверки, он также способен скрывать каталоги, в которых размещаются сброшенные вредоносные программы, скрывать процессы, а также сетевой трафик а>.
Но, пожалуй, самое главное — он может удаленно запускать или останавливать полезные нагрузки.
Войдите в Рекообе
Одна такая полезная нагрузка, обнаруженная исследователями Avast, называется ELF:Rekoob или более широко известна как Rekoobe. Это вредоносное ПО представляет собой троян-бэкдор, написанный на C. Syslogk может установить его на скомпрометированную конечную точку< /a>, а затем оставить его бездействующим, пока он не получит «волшебный пакет» от операторов вредоносного ПО. Волшебный карман может как запускать, так и останавливать вредоносные программы.
«Мы заметили, что руткит Syslogk (и полезная нагрузка Rekoobe) идеально сочетаются друг с другом при скрытом использовании в сочетании с поддельным SMTP-сервером», — объяснила Avast в своем блоге. «Подумайте, насколько скрытным это может быть; бэкдор, который не загружается до тех пор, пока на машину не будут отправлены какие-то магические пакеты. При запросе это оказывается законной службой, скрытой в памяти, скрытой на диске, удаленно «волшебным образом» выполняемой, скрытой в сети. Даже если он будет обнаружен во время сканирования сетевого порта, он все равно будет считаться законным SMTP-сервером».
Сам Rekoobe основан на TinyShell, поясняет BleepingComputer, который также имеет открытый исходный код и широко доступен. Он используется для выполнения команд, что означает, что именно здесь наносится ущерб — злоумышленники используют Rekoobe для кражи файлов, эксфильтрации конфиденциальной информации, захвата учетных записей и т. д.
Вредоносное ПО также легче обнаружить на этом этапе, а это означает, что мошенники должны быть особенно осторожны при развертывании и проведении второго этапа своей атаки.
Через: BleepingComputer< /а>
Оригинал