Se ha detectado un nuevo rootkit encubierto del kernel de Linux llamado Syslogk en desarrollo y ocultando una carga útil maliciosa que un adversario puede controlar de forma remota utilizando un paquete mágico de tráfico de red.
“El rootkit Syslogk se basa en gran medida en Adore-Ng, pero incorpora nuevas funcionalidades que hacen que la aplicación en modo usuario y el rootkit del kernel sean difíciles de detectar”, dijeron los investigadores de seguridad de Avast, David Álvarez y Jan Neduchal dijo en un Informe publicado el lunes.
Adore-Ng, un rootkit de código abierto disponible desde 2004, equipa al atacante con control total sobre un sistema comprometido. También facilita los procesos de ocultación, así como los artefactos maliciosos personalizados, los archivos e incluso el módulo del kernel, lo que dificulta su detección.
“El módulo comienza conectándose a varios sistemas de archivos. Desentierra el inodo para el sistema de archivos raíz y reemplaza ese inodo readdir() puntero de función con uno propio,” LWN.net anotado en ese momento. “La versión de Adore funciona como la que reemplaza, excepto que oculta cualquier archivo que pertenezca a un usuario e ID de grupo específicos”.
Además de sus capacidades para ocultar el tráfico de red de utilidades como netstat, alojadas dentro del rootkit es una carga llamada “PgSD93ql” que no es más que un troyano de puerta trasera compilado basado en C llamado Rekoobe y se activa al recibir un paquete mágico.
“Rekoobe es una pieza de código implantada en servidores legítimos”, dijeron los investigadores. “En este caso, está incrustado en un servidor SMTP falso, que genera un shell cuando recibe un comando especialmente diseñado”.
Específicamente, Syslogk está diseñado para inspeccionar paquetes TCP que contienen el número de puerto de origen 59318 para iniciar el malware Rekoobe. Detener la carga útil, por otro lado, requiere que el paquete TCP cumpla con los siguientes criterios:
- El campo reservado del encabezado TCP se establece en 0x08
- El puerto de origen está entre 63400 y 63411 (inclusive)
- Tanto el puerto de destino como la dirección de origen son los mismos que se usaron al enviar el paquete mágico para iniciar Rekoobe, y
- Contiene una clave (“D9sd87JMaij”) que está codificada en el rootkit y ubicada en un desplazamiento variable del paquete mágico
Por su parte, Rekoobe se hace pasar por un servidor SMTP aparentemente inocuo pero en realidad se basa en un proyecto de código abierto llamado Tiny SHell e incorpora sigilosamente un comando de puerta trasera para generar un shell que permite ejecutar comandos arbitrarios.
Syslogk se suma a una lista creciente de malware evasivo de Linux recientemente descubierto, como BPFDoor y Symbiote, destacando cómo los ciberdelincuentes apuntan cada vez más a los servidores Linux y la infraestructura en la nube para lanzar campañas de ransomware, ataques de cryptojacking y otras actividades ilícitas.
“Los rootkits son piezas peligrosas de malware”, dijeron los investigadores. “Los rootkits de kernel pueden ser difíciles de detectar y eliminar porque estas piezas de malware se ejecutan en una capa privilegiada”.
Fuente: TheHackerNews
