Canal de Telegram

15 jun 2022

Segu-Info » , , » Syslogk y Rekoobe: (otro) rootkit y troyano para Linux

Syslogk y Rekoobe: (otro) rootkit y troyano para Linux

15 jun 2022, 10:53:00 a.m.   Comenta primero!
  , ,  

Se ha detectado un nuevo rootkit del kernel de Linux llamado Syslogk en desarrollo y ocultando una carga útil maliciosa que un adversario puede controlar de forma remota utilizando un "paquete de tráfico de red mágico" (Wake-on-Land). Los rootkits de kernel pueden ser difíciles de detectar y eliminar porque estas piezas de malware se ejecutan en una capa privilegiada.

"El rootkit Syslogk se basa en gran medida en el rootkit Adore-Ng, pero incorpora nuevas funcionalidades que hacen que la aplicación en modo usuario y el rootkit del kernel sean difíciles de detectar", dijeron los investigadores de seguridad de Avast, David Álvarez y Jan Neduchal, en un informe publicado el lunes.

Adore-Ng, un rootkit de código abierto disponible desde 2004 y con fines educativos, equipa al atacante con control total sobre un sistema comprometido. También facilita los procesos de ocultación, así como artefactos maliciosos personalizados, archivos e incluso el módulo del kernel, lo que dificulta su detección.

Además de sus capacidades para ocultar el tráfico de red de utilidades como netstat, dentro del rootkit hay una carga llamada "PgSD93ql" que no es más que un troyano de puerta trasera en C llamado Rekoobe y que se activa al recibir un paquete mágico. Rekoobe se hace pasar por un servidor SMTP aparentemente inocuo, pero en realidad se basa en un proyecto de código abierto llamado TinyShell e incorpora sigilosamente un comando de puerta trasera para generar un shell que permite ejecutar comandos arbitrarios.

"Rekoobe es una pieza de código implantada en servidores legítimos. En este caso, está incrustado en un servidor SMTP falso, que genera un shell cuando recibe un comando especialmente diseñado".

Específicamente, Syslogk está diseñado para inspeccionar paquetes TCP que contienen el número de puerto de origen 59318 para iniciar el malware Rekoobe. Dado que el atacante no quiere que ninguna otra persona en la red pueda matar a Rekoobe, el paquete mágico para matar a Rekoobe debe coincidir con algunos campos utilizados para iniciar Rekoobe.

Syslogk se suma a una lista creciente de malware evasivo de Linux recientemente descubierto, como BPFDoor y Symbiote, que destaca cómo los ciberdelincuentes se dirigen cada vez más a los servidores Linux y la infraestructura de la nube para lanzar campañas de ransomware, ataques de cryptojacking y otras actividades ilícitas.

Fuente: THN

Suscríbete a nuestro Boletín

0 Comments:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!