15.06.2022 | Linux-руткит Syslogk использует волшебные пакеты для запуска бэкдора |
Новый руткит Syslogk быстро развивается и уже был замечен в дикой природе. Основой вредоноса стал Adore-ng , старый руткит с открытым исходным кодом. Syslogk может принудительно загружать себя в модули ядра Linux, чтобы запустить бэкдор Rekoobe. Руткит невозможно обнаружить вручную, так как при первом запуске в качестве модуля ядра Syslogk удаляет свою запись из списка установленных модулей. Обнаружить бэкдор не легче, так как он находится в спящем режиме, пока не получит волшебный пакет от злоумышленника. Волшебный пакет (magic packet) работает как стандартный кадр пробуждения, нацеленный на определенный сетевой интерфейс. Он позволяет получить удаленный доступ к компьютеру даже в режиме энергосбережения. Получив соответствующий волшебный пакет, Syslogk может запустить или остановить бэкдор в зависимости от полученной инструкции. Согласно заявлению компании Avast , Syslogk работает еще эффективнее в связке с поддельным SMTP-сервером. Специалисты считают руткит крайне опасным, так как его невозможно обнаружить в памяти или на диске до получения волшебного пакета от злоумышленника. Ранее сообщалось про другую вредоносную программу, использующую скрытый бэкдор – BFDoor. Она позволяет злоумышленнику удаленно подключиться к оболочке Linux и получить полный доступ к скомпрометированному устройству. |
Проверить безопасность сайта