Network-Secure Campanha 01 Desktop Entrada: 22062022 21h52m
Segurança-no-Linux-e1571173721389.jpg

Rootkit do kernel Linux usa pacote para acesso remoto de backdoor

Apelidado de Syslogk rookit é capaz de ocultar uma carga maliciosa que pode ser controlada remotamente por um invasor usando um pacote mágico de tráfego de rede
Da Redação
14/06/2022

Um novo rootkit do kernel Linux apelidado de Syslogk foi descoberto pelos pesquisadores de segurança cibernética da Avast. De acordo com um comunicado de David Álvarez e Jan Neduchal, o Syslogk é capaz de ocultar carga maliciosa que pode ser controlada remotamente por um invasor usando um “pacote mágico” de tráfego de rede.

A Avast explica que o rootkit, atualmente em desenvolvimento, é baseado no Adore-Ng — um rootkit Linux mais antigo —, mas incorpora novos códigos e funcionalidades, tornando o aplicativo de usuário e o rootkit do kernel mais difíceis de detectar. “Após carregá-lo, o usuário notará que o driver malicioso não aparece na lista de módulos do kernel carregados ao usar o comando lsmod.” Isso ocorre porque o rootkit usa uma função da API do kernel para remover o módulo da lista vinculada de módulos do kernel.

Além disso, o Syslogk também pode ocultar diretórios contendo arquivos maliciosos, juntamente com processos maliciosos e cargas úteis. Do ponto de vista técnico, a Avast explica que a carga maliciosa do Syslogk não está funcionando continuamente. “O invasor o executa remotamente sob demanda quando um pacote TCP especialmente criado […] é enviado para a máquina infectada, que inspeciona o tráfego instalando um gancho de filtro de rede.” Além disso, o invasor também pode interromper remotamente a carga usando uma chave codificada no rootkit e alguns campos do pacote mágico usado para iniciar remotamente a carga.

Veja isso
Malware busca credenciais de bancos brasileiros no Linux
Falha na inicialização do GRUB2 no Linux põe em risco PCs e servidores

Apesar desses recursos perigosos, os pesquisadores da Avast disseram que o Syslogk pode ser detectado e sua carga útil interrompida. “Felizmente, o rootkit tem uma funcionalidade implementada na função proc_write que expõe uma interface no sistema de arquivos /proc que revela o rootkit quando o valor 1 é escrito no arquivo /proc/syslogk.” Uma vez revelado, o rootkit pode ser removido usando o comando rmmod Linux.

“Os rootkits do kernel podem ser difíceis de detectar e remover porque esses malwares são executados em uma camada privilegiada”, alertam os pesquisadores da Avast. “É por isso que é essencial que os administradores de sistema e as empresas de segurança estejam cientes desse tipo de malware e escrevam proteções para seus usuários o mais rápido possível.”

Compartilhar:

Parabéns, você já está cadastrado para receber diariamente a Newsletter do CISO Advisor

Por favor, verifique a sua caixa de e-mail: haverá uma mensagem do nosso sistema dando as instruções para a validação de seu cadastro. Siga as instruções contidas na mensagem e boa leitura. Se você não receber a mensagem entre em contato conosco pelo “Fale Conosco” no final da homepage.

ATENÇÃO: INCLUA [email protected] NOS CONTATOS DE EMAIL

(para a newsletter não cair no SPAM)