Neues Syslogk-Linux-Kernel-Rootkit verwendet „magische Pakete“, um Backdoor-Fernzugriff auszulösen

  • Ein neues Linux-Kernel-Rootkit mit dem Namen „syslogk“ wurde von Avast-Cybersicherheitsforschern in freier Wildbahn entdeckt.

    Laut einem Advisory von David Álvarez und Jan Neduchal kann syslogk eine bösartige Nutzlast tarnen, die dann von einem Angreifer mit Hilfe eines magischen Netzwerkverkehrspakets ferngesteuert werden kann.

    Avast erklärte, dass das Rootkit, das sich derzeit in der Entwicklung befindet, stark auf Adore-Ng (einem älteren Linux-Rootkit) basiert, jedoch neuen Code und neue Funktionen enthält, wodurch die Anwendung im Benutzermodus und das Kernel-Rootkit schwerer zu erkennen sind.

    „Nach dem Laden werden Sie feststellen, dass der bösartige Treiber nicht in der Liste der geladenen Kernelmodule erscheint, wenn Sie den Befehl lsmod verwenden.“

    Dies liegt daran, dass das Rootkit eine Funktion der Kernel-API verwendet, um das Modul aus der verknüpften Liste der Kernelmodule zu entfernen.

    Darüber hinaus kann Syslogk auch Verzeichnisse verstecken, die bösartige Dateien sowie bösartige Prozesse und Nutzlasten enthalten.

    Aus technischer Sicht erklärt Avast, dass die bösartige Nutzlast von Syslogk nicht kontinuierlich ausgeführt wird.

    „Der Angreifer führt sie bei Bedarf aus der Ferne aus, wenn ein speziell präpariertes TCP-Paket […] an den infizierten Rechner gesendet wird, der den Datenverkehr durch die Installation eines Netzfilter-Hooks untersucht.“

    Darüber hinaus kann der Angreifer die Nutzlast auch aus der Ferne stoppen, indem er einen fest codierten Schlüssel im Rootkit und einige Felder des magischen Pakets verwendet, um die Nutzlast aus der Ferne zu starten.

    Trotz dieser gefährlichen Funktionen konnte Syslogk laut den Avast-Forschern entdeckt und seine Nutzlast gestoppt werden.

    „Glücklicherweise verfügt das Rootkit über eine in der proc_write-Funktion implementierte Funktionalität, die eine Schnittstelle im /proc-Dateisystem offenlegt, die das Rootkit offenbart, wenn der Wert 1 in die Datei /proc/syslogk geschrieben wird.“

    Sobald das Rootkit aufgedeckt wurde, kann es mit dem Linux-Befehl rmmod entfernt werden.

    „Kernel-Rootkits können schwer zu erkennen und zu entfernen sein, da diese Malware in einer privilegierten Schicht läuft“, warnten die Avast-Forscher.

    „Deshalb ist es für Systemadministratoren und Sicherheitsunternehmen wichtig, sich dieser Art von Malware bewusst zu sein und so schnell wie möglich Schutzmaßnahmen für ihre Nutzer zu entwickeln.“

    Einige Teile dieses Artikels stammen aus:
    www.infosecurity-magazine.com