I ricercatori di Avast hanno individuato in natura un nuovo rootkit del kernel Linux denominato “Syslogk” che utilizza “magic packets” realizzati ad hoc per attivare una backdoor dormiente sul dispositivo.
Syslogk è fortemente basato su un noto rootkit del kernel open source per Linux, chiamato Adore-Ng, ma incorpora nuove funzionalità che rendono difficile rilevare l’applicazione in modalità utente e il rootkit del kernel.
Questo rootkit sarebbe in grado di nascondere un payload dannoso che potrebbe quindi essere controllato in remoto da un aggressore utilizzando un pacchetto di traffico di rete “magico”.
Gli esperti hanno sottolineato che il rootkit del kernel è difficile da rilevare, consente di nascondere processi, file e persino il modulo del kernel nonché permette anche ai processi in modalità utente autenticati di interagire con il rootkit per controllarlo.
I rootkit Linux sono malware installati come moduli del kernel nel sistema operativo i quali, una volta installati, intercettano i comandi Linux legittimi per filtrare le informazioni che non vogliono visualizzare, come la presenza di file, cartelle o processi.
Syslogk, oltre a nascondersi, rendendosi più difficile da rilevare una volta impiantato, può nascondere completamente il payload dannoso eseguendo le seguenti azioni:
- La funzione hk_proc_readdir del rootkit nasconde le directory contenenti file dannosi, nascondendole efficacemente dal sistema operativo.
- I processi dannosi sono nascosti tramite hk_getpr, un mix di funzioni Adore-Ng per nascondere i processi.
- Il payload dannoso è nascosto da strumenti come Netstat; durante l’esecuzione, non apparirà nell’elenco dei servizi. A tale scopo, il rootkit utilizza la funzione hk_t4_seq_show.
- Il payload dannoso non è continuamente in esecuzione. L’attaccante lo esegue in remoto su richiesta quando un pacchetto TCP appositamente predisposto (dettagli di seguito) viene inviato alla macchina infetta, che ispeziona il traffico installando un hook netfilter.
- È anche possibile che l’attaccante fermi in remoto il carico utile. Ciò richiede l’utilizzo di una chiave codificata nel rootkit e la conoscenza di alcuni campi del pacchetto magico utilizzato per avviare in remoto il payload.
I ricercatori Avast hanno osservato che Syslogk carica una backdoor Linux denominata Rekoobe, che verrà attivata sul sistema compromesso quando il rootkit riceve un “magic packets” dagli operatori.
“Abbiamo osservato che il rootkit Syslogk (e il payload Rekoobe) si allineano perfettamente se usati di nascosto insieme a un falso server SMTP. Considera quanto potrebbe essere furtivo; una backdoor che non si carica finché alcuni magic packets non vengono inviati alla macchina. Quando viene interrogato, sembra essere un servizio legittimo nascosto nella memoria, nascosto su disco, eseguito in remoto “magicamente, nascosto nella rete”, si legge nell’analisi. “Anche se viene trovato durante una scansione della porta di rete, sembra comunque essere un server SMTP legittimo.”
Syslogk è in ascolto di pacchetti TCP predisposti ad hoc che includono valori di campo speciali “Riservati”, numerazione “Porta di origine” compresa tra 63400 e 63411 inclusi, corrispondenze di “Porta di destinazione” e “Indirizzo di origine” e una chiave codificata.
Gli esperti ritengono che il rootkit Syslogk sia in fase di sviluppo e che probabilmente implementerà nuove funzionalità nelle prossime versioni.
“Uno dei vantaggi architetturali del software di sicurezza è che di solito ha componenti in esecuzione con diversi livelli di privilegio; il malware in esecuzione a livelli meno privilegiati non può interferire facilmente con i processi in esecuzione a livelli di privilegio più elevati, consentendo così una gestione più semplice del malware”. “D’altra parte, i rootkit del kernel possono essere difficili da rilevare e rimuovere perché questi malware vengono eseguiti in un livello privilegiato. Questo è il motivo per cui è essenziale che gli amministratori di sistema e le società di sicurezza siano a conoscenza di questo tipo di malware e le protezioni da scrittura per i propri utenti il prima possibile”, concludono gli esperti.
https://securityaffairs.co/wordpress/132232/malware/syslogk-linux-rootkit.html
