ايتنا - روت کیت «Syslogk» بدافزار جدید لینوکس

ایتنا - به منظور پنهان کردن فرآیندهای مخرب، یک بدافزار جدید روت کیت لینوکس با نام «Syslogk» با استفاده از «بسته‌های جادویی» ساخته‌شده خاص و بهره‌برداری‌های ویژه ساخته‌شده برای پیدا کردن یک درب مخفی که روی دستگاه پنهان است، رایانه‌ها را هک می‌کند.

بدافزار جدید توسط محققان شرکت آنتی ویروس Avast کشف شد. بر اساس یک روت کیت هسته منبع معروف به Adore-Ng، روت کیت Syslogk به شدت تحت تاثیر قرار گرفته است. لازم به ذکر است که برخلاف اکثر روت کیت‌هایی که قابل شناسایی هستند، روت کیت هسته می‌تواند کل ماژول‌های هسته و همچنین فرآیندها و فایل‌ها را پنهان کند. علاوه بر این، روت کیت به فرآیندهای احراز هویت شده در حالت کاربر اجازه می‌دهد تا با آن تعامل داشته باشند تا آن را تا حدی کنترل کنند.

EHA روت کیت بدافزاری است که به عنوان یک ماژول هسته در هسته سیستم عامل نصب می‌شود. اکنون برای فیلتر کردن اطلاعاتی که نمی‌خواهند نمایش داده شوند، دستورات قانونی لینوکس را پس از نصب بر روی دستگاه مورد نظر رهگیری می‌کنند. در زیر ما تمام اطلاعاتی را که پنهان می کند ذکر کرده ایم:
• فایل ها
• پوشه ها
• فرآیندها

اگر برای اولین بار SyslogK را به عنوان یک ماژول هسته نصب کنید، ماژول خود را از لیست ماژول های نصب شده حذف می‌کند تا از بازرسی دستی جلوگیری شود. تنها یک نشانه وجود دارد و آن سیستم فایل ‎/proc است که رابط کاربری در معرض نمایش را نمایش می دهد.

روت کیت این توانایی را دارد که فایل‌های مخربی را که بر روی سرور رها می‌کند و همچنین عملکردهای دیگری که به آن اجازه می‌دهد دایرکتوری‌های مخربی را که رها می‌ کند پنهان کند. علاوه بر بارهای مخفی، آواست یک درب مخفی لینوکس به نام Rekoobe نیز پیدا کرد که در کد پنهان شده بود. پس از نصب بر روی سیستم های در معرض خطر، این درب پشتی برای مدت طولانی خاموش می ماند تا زمانی که یک "بسته جادویی" از عامل تهدید آن را قادر به فعال شدن کند.

برنامه‌ای به نام Rekoobe وجود دارد که مبتنی بر TinySHell است که یک برنامه منبع باز است. با استفاده از آن، مهاجم می‌تواند به یک کنسول خط فرمان که به مهاجم اجازه می‌دهد از راه دور به آن دسترسی داشته باشد، در ماشین در معرض خطر دسترسی پیدا کند.

تجزیه و تحلیل بیشتر
به طور خاص، Syslogk طوری مهندسی شده است که بسته های TCP حاوی پورت منبع 59318 را دریافت کند تا بدافزار Rekoobe راه اندازی شود. با این حال، اگر می‌خواهید بارگذاری را متوقف کنید، به بسته TCP نیاز دارید تا شرایط زیر را برآورده کند:

• 0x08 مقداری است که به فیلد رزرو شده هدر TCP اختصاص داده شده است
• منبع باید بین 63400 و 63411 باشد
• لازم به ذکر است که هم آدرس منبع و هم پورتی که در بسته جادویی که برای راه اندازی Rekoobe ارسال شده تنظیم شده است.
• یک کلید در بسته جادویی ("D9sd87JMaij") قرار دارد که به صورت سخت در روت کیت کدگذاری شده است و در بسته جادویی در یک افست متغیر قرار دارد.

کاربران عادی سیستم های لینوکس را زیاد نمی بینند، اما برای برخی از مهم ترین شبکه های شرکتی امروزی حیاتی هستند. عوامل تهدید زمان و تلاش لازم را برای ساخت بدافزار سفارشی برای معماری اختصاص می‌دهند، بنابراین به نظر می‌رسد که این یک سرمایه‌گذاری خطرناک و سودمند باشد. به همین دلیل، مدیران سیستم و شرکت‌های امنیتی باید اقداماتی را برای آگاهی از این نوع بدافزارها انجام دهند و اقدامات حفاظتی مناسب را برای محافظت از کاربران خود در اسرع وقت ایجاد کنند.

منبع: پایگاه اطلاع‌رسانی پلیس فتا