Новый Linux-руткит Syslogk использует волшебные пакеты для запуска бэкдора

Екатерина Быстрова 14 Июня 2022 - 09:06

Домашние пользователи

...

Новый руткит для Linux, получивший имя “Syslogk“, используется злоумышленниками для сокрытия вредоносных процессов. Специально созданные «волшебные пакеты» (magic packets), фигурирующие в этих атаках, задействуются для пробуждения бэкдора в системе жертвы.

В настоящее время вредоносная программа находится в стадии доработки, а в её основу лёг старый руткит с открытым исходным кодом — Adore-Ng. Syslogk способен загружать свои модули в ядро Linux (поддерживаются версии 3.x), скрывать директории и сетевой трафик, а также загружать бэкдор “Rekoobe“.

При первом запуске в качестве модуля ядра Syslogk удаляет свою запись из списка установленных модулей, что помогает уйти от ручной проверки. Вредонос можно обнаружить лишь по интерфейсу в /proc:

Дополнительная функциональность позволяет руткиту скрывать директории, в которых содержатся вредоносные файлы; то же самое происходит с процессами и трафиком. Помимо этого, зловред может удалённо запускать или останавливать пейлоады.

Специалисты антивирусной компании Avast отметили одного из скрытых вредоносов, который используется в этих кампаниях — бэкдор Rekoobe. Фактически он находится «в спячке» на устройстве жертвы и пробуждается только после того, как руткит получит «волшебные пакеты» от операторов.

Для этого Syslogk выискивает специально созданные TCP-пакеты, содержащие жёстко заданный ключ и конкретные значения поля “Reserved“, число “Source Port“, а также совпадения “Source Port“ и “Source Address“. После получения нужного «волшебного пакета» руткит либо остановит, либо запустит бэкдор.

Напомним, что в прошлом месяце мы рассказывали о другом бэкдоре — BPFdoor, который пять лет атаковал Linux и Solaris, оставаясь незамеченным. Уже в июне эксперты рассказали ещё об одном Linux-вредоносе Symbiote, инфицирующем запущенные процессы.

Следующая главная новость »

Подписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Екатерина Быстрова 11 Августа 2025 - 20:05

Домашние пользователи Security Vision

Security Vision привезёт на форум «Москва 2030» киберигры и тесты

С 14 августа по 14 сентября 2025 года на территории МГТУ им. Н.Э. Баумана (Москва, Бригадирский переулок, д. 13) пройдет масштабный форум-фестиваль «Территория Будущего. Москва 2023» – площадка, где встречаются технологии, образование и инновации.

Security Vision совместно с парком профессий Кидзания подготовили для гостей серию полезных и увлекательных активностей:

Тест «Кто ты в сфере информационной безопасности?»
Каждый сможет пройти мини-опрос на интерактивном терминале и определить, какая профессия в кибербезопасности ему ближе: архитектор ИТ-безопасности, аналитик ИТ-безопасности, специалист SOC, администратор систем безопасности, разработчик или тестировщик ПО, консультант по ИБ и другие. Результат теста можно будет получить на электронную почту вместе с подарком от Кидзании
Профессия «Белый хакер»
Адаптированная версия популярной игры из Центра Кибербезопасности Security Vision в Кидзании. Участники с помощью планшета исследуют систему, находят уязвимости и предлагают рекомендации по ее защите.
Компьютерная игра от Security Vision «Кибербитва»
Захватывающее сражение, показывающее работу систем киберзащиты. Чтобы победить, понадобятся командная работа, стратегическое мышление и технические навыки.

Компания Security Vision последовательно развивает образовательные проекты для детей и подростков, чтобы формировать культуру безопасного поведения в цифровой среде и знакомить молодое поколение с профессиями в сфере информационной безопасности. Вместе с парком профессий Кидзания компания создаёт интерактивные форматы, которые помогают не только получить знания о кибербезопасности, но и попробовать себя в роли специалистов будущего.

«Территория будущего. Москва 2030» — это возможность в масштабах всего города познакомиться с будущим, опробовав его технологии, которые уже сегодня применяются в столице. Дети и взрослые смогут пообщаться с роботами и искусственным интеллектом, посмотреть на работу современного беспилотного транспорта, поиграть на технологичных спортивных площадках, изучить новые образовательные, медицинские и промышленные инновации, погрузиться в VR-пространство и многое другое. Security Vision уверена, что популяризация кибербезопасности сегодня – это вклад в цифровое будущее страны.

Security Vision ждёт вас на своей локации с 14 августа по 14 сентября со вторника по воскресенье!