15/01/25
Эксперты FortiGuard обнаружили руткит, поражающий пользователей CentOS Linux. Угроза распространяется через уязвимости в системах, предоставляя злоумышленникам полный удалённый доступ к устройствам. Вредоносный код включает модуль ядра (sysinitd.ko), исполняемый файл (sysinitd) и установочный скрипт (Install.sh), которые обеспечивают скрытность и устойчивость руткита, пишет Securitylab.
Заражение начинается с запуска программы, которая внедряет вредоносные файлы в систему и регистрирует их для автозагрузки. Затем модуль ядра создаёт три записи в /proc, через которые злоумышленники взаимодействуют с системой. Особая опасность заключается в том, что процесс замаскирован под стандартную оболочку bash, что затрудняет его обнаружение администраторами.
Анализ показал, что руткит использует Netfilter для перехвата входящего сетевого трафика на уровне ядра. Злоумышленники устанавливают соединение, отправляя специально сформированный пакет, который активирует процесс взаимодействия. После этого они могут выполнять команды с правами суперпользователя, в том числе скачивать данные, изменять конфигурацию и управлять процессами.
Fortinet уже обеспечила защиту своих клиентов, обновив антивирусные базы для выявления Install.sh, sysinitd.ko и sysinitd. Обновления доступны в продуктах FortiGate, FortiMail, FortiClient и FortiEDR. Вредоносные файлы идентифицируются как BASH/Injector.CSA!tr и ELF64/Injector.CSA!tr.
Специалисты рекомендуют пользователям CentOS обновить защитные системы и регулярно проверять логи на наличие подозрительных действий. Кроме того, не лишним будет следить за тем, чтобы антивирусные базы находились в актуальном состоянии, а аудиты безопасности проводились своевременно.
