-
09/04/2020
-
85
-
553 bài viết
Mã độc Syslogk sử dụng "Magic Packet” để kích hoạt backdoor
Một rootkit Linux mới có tên 'Syslogk' đang được sử dụng trong các cuộc tấn công nhằm che giấu quy trình độc hại, sử dụng "Magic Packet" được chế tạo đặc biệt để “đánh thức” backdoor trên thiết bị.
Mã độc này hiện đang được phát triển mạnh và người đứng sau nó có lẽ dựa trên dự án Adore-Ng, một rootkit mã nguồn mở cũ.
Syslogk có thể bắt tải các mô-đun của nó vào Linux kernel (phiên bản 3.x được hỗ trợ), ẩn thư mục và lưu lượng mạng, cuối cùng tải một backdoor có tên 'Rekoobe'.
Tương tự, khi lần đầu tiên được tải dưới dạng mô-đun kernel, Syslogk sẽ xóa “lối vào” (entry) của nó khỏi danh sách các mô-đun đã cài đặt để tránh bị kiểm tra thủ công. Dấu hiệu duy nhất để phát hiện ra nó là trong giao diện trong hệ thống tệp /proc.
Các chức năng bổ sung trong rootkit cho phép nó ẩn các thư mục chứa tệp độc hại mà nó lây nhiễm trong máy chủ, ẩn các quy trình hay lưu lượng mạng, kiểm tra tất cả các gói TCP và khởi động hoặc dừng payload.
Một trong những payload bị ẩn được Avast phát hiện là backdoor Linux có tên Rekoobe. Nó sẽ không hoạt động trên một máy bị xâm nhập cho đến khi rootkit nhận được "Magic Packet" từ hacker.
Tương tự như giao thức Wake-on-LAN được sử dụng để kích hoạt các thiết bị đang ở chế độ “sleep”, Syslogk sẽ nghe lén các gói TCP được tạo đặc biệt bao gồm trường “Reserved” đặc biệt, đánh số “Source Port”, “Destination Port” và “Source Address” phù hợp và một khóa được mã hóa cứng.
Khi giao thức thích hợp bị phát hiện, Syslogks sẽ khởi động hoặc dừng backdoor theo hướng dẫn của kẻ tấn công từ xa để tránh bị phát hiện.
Avast cho biết: “Chúng tôi quan sát thấy rootkit Syslogk (và payload Rekoobe) căn chỉnh hoàn hảo khi được sử dụng bí mật cùng với một máy chủ SMTP giả mạo.
Việc này lén lút diễn ra: Một backdoor không tải cho đến khi một số gói tin được gửi đến máy. Khi được truy vấn, nó tỏ ra là một dịch vụ hợp pháp ẩn trong bộ nhớ, trên đĩa hoặc mạng được thực thi từ xa. Ngay cả khi nó được tìm thấy trong quá trình quét cổng mạng, nó vẫn là một máy chủ SMTP hợp pháp”.
Rekoobe được tải vào chế độ người dùng, nơi khó bị phát hiện như đối với Syslogk trên chế độ kernel. Bởi vậy hãy “dè chừng” nếu nó được tải thành công. Nó còn dựa trên TinySHell, một phần mềm mã nguồn mở và có sẵn, mục đích là cung cấp cho kẻ tấn công một shell từ xa trên máy bị xâm nhập.
Nghĩa là Rekoobe được sử dụng để thực hiện các lệnh dẫn đến nhiều hậu quả bao gồm: rò rỉ thông tin, lọc dữ liệu, thao tác tệp, chiếm quyền tài khoản…
Với người dùng thường thì hệ thống Linux không phổ biến, nhưng chúng vẫn được sử dụng cho một số mạng doanh nghiệp. Đó là lý do kẻ tấn công đang nỗ lực phát triển phần mềm độc hại theo kiến trúc đó.
Trường hợp của Syslogk đang trong giai đoạn phát triển ban đầu nên không chắc chắn để nhận định liệu nó có trở thành một mối đe dọa trên diện rộng hay không trong thời điểm này. Tuy nhiên, xét về tính “lẩn trốn”, nó có thể sẽ tiếp tục sinh ra các biến thể mới và cải tiến dần dần.
Syslogk sẽ trở nên nguy hiểm nhất nếu có biến thể nhắm vào các phiên bản kernel Linux mới hơn, mở rộng phạm vi tấn công mục tiêu cùng lúc.
Mã độc này hiện đang được phát triển mạnh và người đứng sau nó có lẽ dựa trên dự án Adore-Ng, một rootkit mã nguồn mở cũ.
Syslogk có thể bắt tải các mô-đun của nó vào Linux kernel (phiên bản 3.x được hỗ trợ), ẩn thư mục và lưu lượng mạng, cuối cùng tải một backdoor có tên 'Rekoobe'.
Sử dụng “Magic Packet” để tải backdoor
Rookit Linux là phần mềm độc hại được cài đặt dưới dạng mô-đun kernel trong hệ điều hành. Sau đó chúng chặn các lệnh Linux để lọc ra thông tin muốn hiển thị như tệp, thư mục hoặc quy trình.Tương tự, khi lần đầu tiên được tải dưới dạng mô-đun kernel, Syslogk sẽ xóa “lối vào” (entry) của nó khỏi danh sách các mô-đun đã cài đặt để tránh bị kiểm tra thủ công. Dấu hiệu duy nhất để phát hiện ra nó là trong giao diện trong hệ thống tệp /proc.
Các chức năng bổ sung trong rootkit cho phép nó ẩn các thư mục chứa tệp độc hại mà nó lây nhiễm trong máy chủ, ẩn các quy trình hay lưu lượng mạng, kiểm tra tất cả các gói TCP và khởi động hoặc dừng payload.
Một trong những payload bị ẩn được Avast phát hiện là backdoor Linux có tên Rekoobe. Nó sẽ không hoạt động trên một máy bị xâm nhập cho đến khi rootkit nhận được "Magic Packet" từ hacker.
Tương tự như giao thức Wake-on-LAN được sử dụng để kích hoạt các thiết bị đang ở chế độ “sleep”, Syslogk sẽ nghe lén các gói TCP được tạo đặc biệt bao gồm trường “Reserved” đặc biệt, đánh số “Source Port”, “Destination Port” và “Source Address” phù hợp và một khóa được mã hóa cứng.
Khi giao thức thích hợp bị phát hiện, Syslogks sẽ khởi động hoặc dừng backdoor theo hướng dẫn của kẻ tấn công từ xa để tránh bị phát hiện.
Avast cho biết: “Chúng tôi quan sát thấy rootkit Syslogk (và payload Rekoobe) căn chỉnh hoàn hảo khi được sử dụng bí mật cùng với một máy chủ SMTP giả mạo.
Việc này lén lút diễn ra: Một backdoor không tải cho đến khi một số gói tin được gửi đến máy. Khi được truy vấn, nó tỏ ra là một dịch vụ hợp pháp ẩn trong bộ nhớ, trên đĩa hoặc mạng được thực thi từ xa. Ngay cả khi nó được tìm thấy trong quá trình quét cổng mạng, nó vẫn là một máy chủ SMTP hợp pháp”.
Rekoobe được tải vào chế độ người dùng, nơi khó bị phát hiện như đối với Syslogk trên chế độ kernel. Bởi vậy hãy “dè chừng” nếu nó được tải thành công. Nó còn dựa trên TinySHell, một phần mềm mã nguồn mở và có sẵn, mục đích là cung cấp cho kẻ tấn công một shell từ xa trên máy bị xâm nhập.
Nghĩa là Rekoobe được sử dụng để thực hiện các lệnh dẫn đến nhiều hậu quả bao gồm: rò rỉ thông tin, lọc dữ liệu, thao tác tệp, chiếm quyền tài khoản…
Syslogk có khiến người dùng lo lắng?
Rootkit Syslogk là một ví dụ khác về phần mềm độc hại có khả năng “lẩn trốn” tinh vi trong các hệ thống Linux được thêm vào trên Symbiote và BPFDoor gần đây, đều sử dụng hệ thống BPF để giám sát lưu lượng mạng và thao tác động.Với người dùng thường thì hệ thống Linux không phổ biến, nhưng chúng vẫn được sử dụng cho một số mạng doanh nghiệp. Đó là lý do kẻ tấn công đang nỗ lực phát triển phần mềm độc hại theo kiến trúc đó.
Trường hợp của Syslogk đang trong giai đoạn phát triển ban đầu nên không chắc chắn để nhận định liệu nó có trở thành một mối đe dọa trên diện rộng hay không trong thời điểm này. Tuy nhiên, xét về tính “lẩn trốn”, nó có thể sẽ tiếp tục sinh ra các biến thể mới và cải tiến dần dần.
Syslogk sẽ trở nên nguy hiểm nhất nếu có biến thể nhắm vào các phiên bản kernel Linux mới hơn, mở rộng phạm vi tấn công mục tiêu cùng lúc.
Theo Bleepingcomputer
Chỉnh sửa lần cuối: