Ett nytt rootkit har upptäckts som påverkar Linux-system (öppnas i en ny flik), som kan både ladda och dölja skadliga program.
Som avslöjats av Avasts cybersäkerhetsforskare är rootkit för skadlig programvara (öppnas i en ny flik), kallad Syslogk, baserat på ett äldre rootkit med öppen källkod som heter Adore-Ng.
Det är också i ett relativt tidigt utvecklingsstadium (aktivt), så om det blir ett fullfjädrat hot eller inte återstår att se.
När Syslogk laddas tar den först bort posten från listan över installerade moduler, vilket betyder att det enda sättet att upptäcka det är genom ett gränssnitt som är exponerat i filsystemet /proc. Förutom att dölja sig själv från manuell inspektion kan den också dölja kataloger som är värd för borttagen skadlig programvara, dölja processer och nätverkstrafik.
Men kanske viktigast av allt, du kan starta eller stoppa nyttolaster på distans.
Ange Rekoobe
En sådan nyttolast som upptäcktes av Avast-forskare heter ELF:Rekoob, eller mer känd som Rekoobe. Denna skadliga programvara är en bakdörrstrojan skriven i C. Syslogk kan släppa den på den komprometterade slutpunkten (öppnas i en ny flik) och sedan lämna den inaktiv tills den tar emot ett "magiskt paket" från skadlig programvara. Den magiska fickan kan starta och stoppa skadlig programvara.
"Vi fann att Syslogk rootkit (och Rekoobe nyttolasten) passar perfekt när de används i hemlighet i samband med en falsk SMTP-server," förklarade Avast i ett blogginlägg. "Tänk på hur smygande det kan vara; en bakdörr som inte laddas förrän vissa magiska paket skickas till maskinen. När du tillfrågas verkar det vara en legitim tjänst gömd i minnet, gömd på disk, fjärrexekverad "magiskt" , dold på nätverket Även om det hittas under en nätverksportsskanning verkar det fortfarande vara en legitim SMTP-server.
Rekoobe själv är baserad på TinyShell, förklarar BleepingComputer, som också är öppen källkod och allmänt tillgänglig. Det används för att köra kommandon, vilket betyder att det är där skadan sker: Hackare använder Rekoobe för att stjäla filer, läcka känslig information, ta över konton och mer.
Skadlig programvara är också lättare att upptäcka i detta skede, vilket innebär att brottslingar måste vara mycket försiktiga när de distribuerar och utför det andra steget av sin attack.
Via: BleepingComputer (öppnas i en ny flik)