Neues Syslogk-Linux-Rootkit ermöglicht Angreifern die Fernsteuerung über „Magic Packets“

  • Ein neues verdecktes Linux-Kernel-Rootkit mit dem Namen Syslogk wurde in freier Wildbahn entdeckt. Es tarnt eine bösartige Nutzlast, die von einem Angreifer mithilfe eines magischen Netzwerkverkehrspakets ferngesteuert werden kann.

    „Das Syslogk-Rootkit basiert stark auf Adore-Ng, enthält aber neue Funktionalitäten, die es schwer machen, die Anwendung im Benutzermodus und das Kernel-Rootkit zu erkennen“, so die Avast-Sicherheitsforscher David Álvarez und Jan Neduchal in einem am Montag veröffentlichten Bericht.

    Adore-Ng, ein seit 2004 verfügbares Open-Source-Rootkit, gibt dem Angreifer die volle Kontrolle über ein kompromittiertes System. Es ermöglicht auch das Verstecken von Prozessen sowie von benutzerdefinierten bösartigen Artefakten, Dateien und sogar des Kernel-Moduls, wodurch es schwerer zu entdecken ist.

    [Blocked Image: https://thehackernews.com/new-images/img/b/R29vZ2xl/AVvXsEjaBbYTALewJvxPx8cnzv0FMFvygJ4ym5US2q-Uxw_N9KSMl8z0Z7pPOeXOEHgnJ9u00oLe7QZR55XMcwv60hQ_dIuT9MTSCTeu-C3cUe-RgpBF3_hTmoXh7ESgmtUaVloM9dS5jXLtkOLVeYSBrepZsVYuf3lxIAlCR4TsZhB-hFm_HGHwjkDsk9teXQ/s1600/Jira-ads.png]

    „Das Modul beginnt damit, sich in verschiedene Dateisysteme einzuklinken. Es gräbt die Inode für das Root-Dateisystem aus und ersetzt den Zeiger der readdir()-Funktion dieser Inode durch einen eigenen Zeiger“, schrieb LWN.net seinerzeit. „Die Adore-Version funktioniert wie die, die sie ersetzt, mit dem Unterschied, dass sie alle Dateien versteckt, die einer bestimmten Benutzer- und Gruppen-ID gehören.

    Neben der Fähigkeit, den Netzwerkverkehr vor Dienstprogrammen wie netstat zu verbergen, enthält das Rootkit eine Nutzlast namens „PgSD93ql“, bei der es sich lediglich um einen in C kompilierten Backdoor-Trojaner namens Rekoobe handelt, der beim Empfang eines magischen Pakets ausgelöst wird.

    „Rekoobe ist ein Stück Code, das in legitime Server implantiert wird“, so die Forscher. „In diesem Fall ist er in einen gefälschten SMTP-Server eingebettet, der eine Shell startet, wenn er einen speziell gestalteten Befehl empfängt.

    Konkret ist Syslogk so konstruiert, dass es TCP-Pakete mit der Quellportnummer 59318 inspiziert, um die Rekoobe-Malware zu starten. Um die Nutzlast zu stoppen, muss das TCP-Paket jedoch die folgenden Kriterien erfüllen.

    • Das reservierte Feld des TCP-Headers ist auf 0x08 gesetzt
    • Quellport liegt zwischen 63400 und 63411 (einschließlich)
    • Sowohl der Zielport als auch die Quelladresse sind die gleichen, die beim Senden des magischen Pakets zum Starten von Rekoobe verwendet wurden, und
    • Enthält einen Schlüssel („D9sd87JMaij“), der im Rootkit fest einkodiert ist und sich in einem variablen Offset des magischen Pakets befindet

    [Blocked Image: https://thehackernews.com/new-images/img/b/R29vZ2xl/AVvXsEj6zHdXd3qpCksF0nkMkrjsOzaw-cxZGPHWoTEp9y7VPIeyPBFGsmIyIX8NTkqI1IDqnIXYnsZuIh4rc9f8TNUn7ndAZqtXc-t58X2oueTaL4Ijb4hgH-b183QvQ0ienXIipuOsqeLP5b8I2prKmp0RWvdZQgnKehVRKbqRQpin1JgfwlZeE_IB4EmesQ/s1600/crowdsec-728.jpg]

    Rekoobe wiederum tarnt sich als scheinbar harmloser SMTP-Server, basiert aber in Wirklichkeit auf einem Open-Source-Projekt namens Tiny SHell und enthält heimlich einen Backdoor-Befehl, mit dem sich eine Shell erzeugen lässt, die die Ausführung beliebiger Befehle ermöglicht.

    Syslogk reiht sich ein in eine wachsende Liste neu entdeckter, ausweichender Linux-Malware wie BPFDoor und Symbiote und zeigt, dass Cyberkriminelle zunehmend Linux-Server und Cloud-Infrastrukturen ins Visier nehmen, um Ransomware-Kampagnen, Kryptojacking-Angriffe und andere illegale Aktivitäten zu starten.

    „Rootkits sind gefährliche Malware“, so die Forscher. „Kernel-Rootkits können schwer zu erkennen und zu entfernen sein, da diese Malware in einer privilegierten Ebene läuft.

    Sie fanden diesen Artikel interessant? Folgen Sie THN auf Facebook, Twitter und LinkedIn, um weitere exklusive Inhalte zu lesen, die wir veröffentlichen.

    Einige Teile dieses Artikels stammen aus:
    thehackernews.com