Новый Linux-руткит Syslogk использует волшебные пакеты для запуска бэкдора

Екатерина Быстрова 14 Июня 2022 - 09:06

Домашние пользователи

...

Новый руткит для Linux, получивший имя “Syslogk“, используется злоумышленниками для сокрытия вредоносных процессов. Специально созданные «волшебные пакеты» (magic packets), фигурирующие в этих атаках, задействуются для пробуждения бэкдора в системе жертвы.

В настоящее время вредоносная программа находится в стадии доработки, а в её основу лёг старый руткит с открытым исходным кодом — Adore-Ng. Syslogk способен загружать свои модули в ядро Linux (поддерживаются версии 3.x), скрывать директории и сетевой трафик, а также загружать бэкдор “Rekoobe“.

При первом запуске в качестве модуля ядра Syslogk удаляет свою запись из списка установленных модулей, что помогает уйти от ручной проверки. Вредонос можно обнаружить лишь по интерфейсу в /proc:

Дополнительная функциональность позволяет руткиту скрывать директории, в которых содержатся вредоносные файлы; то же самое происходит с процессами и трафиком. Помимо этого, зловред может удалённо запускать или останавливать пейлоады.

Специалисты антивирусной компании Avast отметили одного из скрытых вредоносов, который используется в этих кампаниях — бэкдор Rekoobe. Фактически он находится «в спячке» на устройстве жертвы и пробуждается только после того, как руткит получит «волшебные пакеты» от операторов.

Для этого Syslogk выискивает специально созданные TCP-пакеты, содержащие жёстко заданный ключ и конкретные значения поля “Reserved“, число “Source Port“, а также совпадения “Source Port“ и “Source Address“. После получения нужного «волшебного пакета» руткит либо остановит, либо запустит бэкдор.

Напомним, что в прошлом месяце мы рассказывали о другом бэкдоре — BPFdoor, который пять лет атаковал Linux и Solaris, оставаясь незамеченным. Уже в июне эксперты рассказали ещё об одном Linux-вредоносе Symbiote, инфицирующем запущенные процессы.

Следующая главная новость »

Подписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Екатерина Быстрова 11 Августа 2025 - 18:49

Linux Эксплойты Уязвимости программ Домашние пользователи Корпорации

BadCam: веб-камеры Lenovo на Linux превратили в инструмент взлома

Исследователи из компании Eclypsium показали, как обычные веб-камеры на базе Linux можно превратить в инструмент для постоянной компрометации компьютера. В эксперименте они взломали две модели камер от Lenovo — 510 FHD и Performance FHD Web.

Обе работают на чипах и прошивке китайской компании SigmaStar. Оказалось, что такие камеры можно использовать для атаки по типу BadUSB — когда безобидное устройство с изменённой прошивкой начинает выполнять вредоносные команды при подключении к компьютеру.

В классическом BadUSB злоумышленнику нужен физический доступ к устройству, но в новой модификации, получившей название BadCam, это не обязательно.

Если атакующий получает удалённый доступ к компьютеру, он может перепрошить подключённую камеру прямо из системы. После этого камера сможет повторно заражать хост, даже если тот полностью переустановлен.

Причина уязвимости в камерах Lenovo — отсутствие проверки подписи прошивки. В софте для обновления есть команды, позволяющие без труда залить вредоносный код с уже скомпрометированного устройства.

В качестве примера Eclypsium упомянула уязвимость ядра Linux CVE-2024-53104, которую уже использовали в атаках: через неё можно получить контроль над системой и затем прошить подключённую камеру вредоносом.

Lenovo присвоила багу код CVE-2025-4371 и выпустила патч в прошивке версии 4.8.0. Однако, предупреждают исследователи, уязвимыми могут быть и другие веб-камеры или USB-устройства на базе Linux.

Свою работу Eclypsium представила на хакерской конференции DEF CON, а также опубликовала подробный разбор в блоге.