Обнаружен новый руткит, поражающий системы Linux (откроется в новой вкладке), способный как загружать, так и скрывать вредоносное ПО.
Как выяснили специалисты по кибербезопасности Avast, вредоносный руткит (открывается в новой вкладке) под названием Syslogk основан на более старом рутките с открытым исходным кодом под названием Adore-Ng.
Он также находится на относительно ранней стадии разработки (активной), поэтому еще неизвестно, станет ли он полноценной угрозой.
Когда Syslogk загружается, он сначала удаляет свою запись из списка установленных модулей, что означает, что единственный способ обнаружить его — через интерфейс, открытый в файловой системе /proc. Помимо того, что он скрывает себя от ручной проверки, он также может скрывать каталоги с удаленными вредоносными программами, скрывать процессы и сетевой трафик.
Но, пожалуй, самое главное: вы можете удаленно запускать или останавливать полезные нагрузки.
Войдите в Рекообе
Одна такая полезная нагрузка, обнаруженная исследователями Avast, называется ELF:Rekoob или более известна как Rekoobe. Это вредоносное ПО представляет собой троян-бэкдор, написанный на C. Syslogk может сбросить его на скомпрометированную конечную точку (откроется в новой вкладке), а затем оставить его бездействующим, пока не получит «магический пакет» от операторов вредоносного ПО. Волшебный карман может запускать и останавливать вредоносное ПО.
«Мы обнаружили, что руткит Syslogk (и полезная нагрузка Rekoobe) идеально сочетаются друг с другом при скрытом использовании в сочетании с поддельным SMTP-сервером», — объяснила Avast в своем блоге. «Подумайте, насколько скрытным он может быть; бэкдор, который не загружается, пока на машину не будут отправлены определенные магические пакеты. Когда его спрашивают, это оказывается законной службой, скрытой в памяти, скрытой на диске, выполняемой удаленно «волшебным образом», скрытой в сети Даже если он будет обнаружен во время сканирования сетевого порта, он все равно будет считаться законным SMTP-сервером.
Сам Rekoobe основан на TinyShell, поясняет BleepingComputer, который также имеет открытый исходный код и широко доступен. Он используется для выполнения команд, а это означает, что именно здесь наносится ущерб: хакеры используют Rekoobe для кражи файлов, утечки конфиденциальной информации, получения контроля над учетными записями и многого другого.
Вредоносное ПО также легче обнаружить на этом этапе, а это означает, что преступники должны быть очень осторожны при развертывании и выполнении второго этапа своей атаки.
Через: BleepingComputer (открывается в новой вкладке)