Контакты
Подписка 2022
МЕНЮ
Контакты
Подписка

Linux-руткит Syslogk использует волшебные пакеты для запуска бэкдора

15/06/22

Linux-4Новый руткит Syslogk быстро развивается и уже был замечен в дикой природе. Основой вредоноса стал Adore-ng , старый руткит с открытым исходным кодом.

Syslogk может принудительно загружать себя в модули ядра Linux, чтобы запустить бэкдор Rekoobe. Руткит невозможно обнаружить вручную, так как при первом запуске в качестве модуля ядра Syslogk удаляет свою запись из списка установленных модулей.

Обнаружить бэкдор не легче, так как он находится в спящем режиме, пока не получит волшебный пакет от злоумышленника. Волшебный пакет (magic packet) работает как стандартный кадр пробуждения, нацеленный на определенный сетевой интерфейс. Он позволяет получить удаленный доступ к компьютеру даже в режиме энергосбережения. Получив соответствующий волшебный пакет, Syslogk может запустить или остановить бэкдор в зависимости от полученной инструкции.

Согласно заявлению компании Avast , Syslogk работает еще эффективнее в связке с поддельным SMTP-сервером. Специалисты считают руткит крайне опасным, так как его невозможно обнаружить в памяти или на диске до получения волшебного пакета от злоумышленника.

Ранее Securitylab сообщала про другую вредоносную программу, использующую скрытый бэкдор – BFDoor. Она позволяет злоумышленнику удаленно подключиться к оболочке Linux и получить полный доступ к скомпрометированному устройству.

Темы:LinuxПреступлениябэкдорыAvast

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2022
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ

Еще темы...