Ein neues verdecktes Linux-Kernel-Rootkit mit dem Namen Syslogk wurde in freier Wildbahn entdeckt. Es tarnt eine bösartige Nutzlast, die von einem Angreifer mithilfe eines magischen Netzwerkverkehrspakets aus der Ferne gesteuert werden kann.
„Das Syslogk-Rootkit basiert stark auf Adore-Ng, enthält aber neue Funktionen, die es schwer machen, die Anwendung im Benutzermodus und das Kernel-Rootkit zu erkennen“, so die Avast-Sicherheitsforscher David Álvarez und Jan Neduchal in einem am Montag veröffentlichten Bericht.
Adore-Ng, ein seit 2004 verfügbares Open-Source-Rootkit, gibt dem Angreifer die volle Kontrolle über ein kompromittiertes System. Es ermöglicht außerdem das Verstecken von Prozessen sowie von benutzerdefinierten bösartigen Artefakten, Dateien und sogar des Kernelmoduls, wodurch es schwerer zu entdecken ist.
„Das Modul beginnt damit, sich in verschiedene Dateisysteme einzuklinken. Es gräbt den Inode für das Root-Dateisystem aus und ersetzt den Zeiger der readdir()-Funktion dieses Inodes durch einen eigenen“, schrieb LWN.net damals. „Die Adore-Version funktioniert wie die, die sie ersetzt, außer dass sie alle Dateien versteckt, die einer bestimmten Benutzer- und Gruppen-ID gehören.“
Neben der Fähigkeit, den Netzwerkverkehr vor Dienstprogrammen wie Netstat zu verbergen, enthält das Rootkit eine Nutzlast namens „PgSD93ql“, die nichts anderes als ein in C kompilierter Backdoor-Trojaner namens Rekoobe ist und beim Empfang eines magischen Pakets ausgelöst wird.
„Rekoobe ist ein Stück Code, das in legitime Server eingeschleust wird“, so die Forscher. „In diesem Fall ist er in einen gefälschten SMTP-Server eingebettet, der eine Shell startet, wenn er einen speziell gestalteten Befehl erhält.
Syslogk ist so programmiert, dass es TCP-Pakete mit der Quellportnummer 59318 untersucht, um die Rekoobe-Malware zu starten. Um die Nutzlast zu stoppen, muss das TCP-Paket jedoch folgende Kriterien erfüllen
Das reservierte Feld des TCP-Headers ist auf 0x08 gesetzt
Der Quellport liegt zwischen 63400 und 63411 (einschließlich)
Sowohl der Zielport als auch die Quelladresse sind dieselben, die beim Senden des magischen Pakets zum Starten von Rekoobe verwendet wurden, und
Enthält einen Schlüssel („D9sd87JMaij“), der im Rootkit fest codiert ist und sich in einem variablen Offset des magischen Pakets befindet
Rekoobe wiederum tarnt sich als scheinbar harmloser SMTP-Server, basiert aber in Wirklichkeit auf einem Open-Source-Projekt namens Tiny SHell und enthält heimlich einen Backdoor-Befehl, mit dem eine Shell gestartet werden kann, die die Ausführung beliebiger Befehle ermöglicht.
Syslogk reiht sich ein in eine wachsende Liste neu entdeckter, ausweichender Linux-Malware wie BPFDoor und Symbiote und zeigt, dass Cyberkriminelle zunehmend Linux-Server und Cloud-Infrastrukturen ins Visier nehmen, um Ransomware-Kampagnen, Kryptojacking-Angriffe und andere illegale Aktivitäten zu starten.
„Rootkits sind gefährliche Malware“, so die Forscher. „Kernel-Rootkits können schwer zu erkennen und zu entfernen sein, weil diese Malware in einer privilegierten Schicht läuft.