Контакты
Подписка 2024
Персональные данные
4 апреля. Персональные данные в 2024 году: регулирование, практика, тенденции
Регистрируйтесь на онлайн-конференцию!

Linux-руткит Syslogk использует волшебные пакеты для запуска бэкдора

15/06/22

Linux-4Новый руткит Syslogk быстро развивается и уже был замечен в дикой природе. Основой вредоноса стал Adore-ng , старый руткит с открытым исходным кодом.

Syslogk может принудительно загружать себя в модули ядра Linux, чтобы запустить бэкдор Rekoobe. Руткит невозможно обнаружить вручную, так как при первом запуске в качестве модуля ядра Syslogk удаляет свою запись из списка установленных модулей.

Обнаружить бэкдор не легче, так как он находится в спящем режиме, пока не получит волшебный пакет от злоумышленника. Волшебный пакет (magic packet) работает как стандартный кадр пробуждения, нацеленный на определенный сетевой интерфейс. Он позволяет получить удаленный доступ к компьютеру даже в режиме энергосбережения. Получив соответствующий волшебный пакет, Syslogk может запустить или остановить бэкдор в зависимости от полученной инструкции.

Согласно заявлению компании Avast , Syslogk работает еще эффективнее в связке с поддельным SMTP-сервером. Специалисты считают руткит крайне опасным, так как его невозможно обнаружить в памяти или на диске до получения волшебного пакета от злоумышленника.

Ранее Securitylab сообщала про другую вредоносную программу, использующую скрытый бэкдор – BFDoor. Она позволяет злоумышленнику удаленно подключиться к оболочке Linux и получить полный доступ к скомпрометированному устройству.

Темы:LinuxПреступлениябэкдорыAvast
NGFW
9 апреля. Отечественные NGFW: как защитить облачную инфраструктуру и настроить обнаружение кибератак
Участвуйте и представляйте решения!
Статьи по темеСтатьи по теме

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
SOAR, IRP, SOC
Спецпроекты журнала "Информационная безопасность"
Станьте автором издания!

Еще темы...

More...