Un nouveau rootkit a été découvert qui affecte les systèmes Linux (s'ouvre dans un nouvel onglet), capable à la fois de charger et de masquer des programmes malveillants.
Comme l'ont révélé les chercheurs en cybersécurité d'Avast, le rootkit malveillant (ouvre un nouvel onglet), appelé Syslogk, est basé sur un ancien rootkit open source appelé Adore-Ng.
Il est également à un stade de développement relativement précoce (actif), il reste donc à voir s'il devient ou non une menace à part entière.
Lorsque Syslogk est chargé, il supprime d'abord son entrée de la liste des modules installés, ce qui signifie que la seule façon de le détecter est via une interface exposée dans le système de fichiers /proc. En plus de se cacher de l'inspection manuelle, il est également capable de masquer les répertoires qui hébergent les logiciels malveillants supprimés, de masquer les processus et le trafic réseau.
Mais peut-être plus important encore, vous pouvez démarrer ou arrêter les charges utiles à distance.
Entrez Rekoobe
L'une de ces charges utiles découvertes par les chercheurs d'Avast s'appelle ELF:Rekoob, ou mieux connue sous le nom de Rekoobe. Ce malware est un cheval de Troie de porte dérobée écrit en C. Syslogk peut le placer sur le point final compromis (s'ouvre dans un nouvel onglet), puis le laisser inactif jusqu'à ce qu'il reçoive un « paquet magique » des opérateurs du malware. La poche magique peut démarrer et arrêter les logiciels malveillants.
"Nous avons observé que le rootkit Syslogk (et la charge utile Rekoobe) s'alignent parfaitement lorsqu'il est utilisé secrètement en conjonction avec un faux serveur SMTP", a expliqué Avast dans un article de blog. "Considérez à quel point cela pourrait être furtif : une porte dérobée qui ne se charge pas tant que certains paquets magiques ne sont pas envoyés à la machine. Lorsqu'on lui demande, cela semble être un service légitime caché en mémoire, caché sur le disque, exécuté à distance "magiquement", caché. sur le réseau Même s'il est détecté lors d'une analyse des ports réseau, il semble toujours être un serveur SMTP légitime.
Rekoobe lui-même est basé sur TinyShell, explique BleepingComputer, qui est également open source et largement disponible. Il est utilisé pour exécuter des commandes, ce qui signifie que c'est là que les dégâts sont causés : les pirates utilisent Rekoobe pour voler des fichiers, divulguer des informations sensibles, prendre le contrôle de comptes, etc.
Les logiciels malveillants sont également plus faciles à détecter à ce stade, ce qui signifie que les criminels doivent être très prudents lors du déploiement et de l'exécution de la deuxième étape de leur attaque.
Via : BleepingComputer (Ouvre dans un nouvel onglet)