Новый Linux-руткит Syslogk использует волшебные пакеты для запуска бэкдора

Екатерина Быстрова 14 Июня 2022 - 09:06

Домашние пользователи

...

Новый руткит для Linux, получивший имя “Syslogk“, используется злоумышленниками для сокрытия вредоносных процессов. Специально созданные «волшебные пакеты» (magic packets), фигурирующие в этих атаках, задействуются для пробуждения бэкдора в системе жертвы.

В настоящее время вредоносная программа находится в стадии доработки, а в её основу лёг старый руткит с открытым исходным кодом — Adore-Ng. Syslogk способен загружать свои модули в ядро Linux (поддерживаются версии 3.x), скрывать директории и сетевой трафик, а также загружать бэкдор “Rekoobe“.

При первом запуске в качестве модуля ядра Syslogk удаляет свою запись из списка установленных модулей, что помогает уйти от ручной проверки. Вредонос можно обнаружить лишь по интерфейсу в /proc:

Дополнительная функциональность позволяет руткиту скрывать директории, в которых содержатся вредоносные файлы; то же самое происходит с процессами и трафиком. Помимо этого, зловред может удалённо запускать или останавливать пейлоады.

Специалисты антивирусной компании Avast отметили одного из скрытых вредоносов, который используется в этих кампаниях — бэкдор Rekoobe. Фактически он находится «в спячке» на устройстве жертвы и пробуждается только после того, как руткит получит «волшебные пакеты» от операторов.

Для этого Syslogk выискивает специально созданные TCP-пакеты, содержащие жёстко заданный ключ и конкретные значения поля “Reserved“, число “Source Port“, а также совпадения “Source Port“ и “Source Address“. После получения нужного «волшебного пакета» руткит либо остановит, либо запустит бэкдор.

Напомним, что в прошлом месяце мы рассказывали о другом бэкдоре — BPFdoor, который пять лет атаковал Linux и Solaris, оставаясь незамеченным. Уже в июне эксперты рассказали ещё об одном Linux-вредоносе Symbiote, инфицирующем запущенные процессы.

Следующая главная новость »

Подписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Екатерина Быстрова 12 Августа 2025 - 10:26

MultiDirectory Государство Системы защиты личных данных Системы защиты баз данных «МУЛЬТИФАКТОР»

В MULTIDIRECTORY появилась передача логов в Syslog и защита от брутфорса

Компания «МУЛЬТИФАКТОР» выпустила обновление корпоративной версии российской службы каталогов MULTIDIRECTORY. В новой версии появились функции, которые повышают безопасность и удобство администрирования. Во-первых, теперь система поддерживает журналирование событий через протокол Syslog.

Это позволяет отправлять данные о действиях пользователей в централизованный журнал и упрощает анализ инцидентов и мониторинг безопасности.

Во-вторых, доработана политика паролей: при нескольких подряд неверных вводах система временно блокирует вход. Параметры блокировки администратор может настраивать сам — например, четыре ошибочные попытки приведут к 15-минутной паузе перед следующей попыткой.

«В новом релизе корпоративной версии команда разработчиков MULTIDIRECTORY внесла ряд значимых улучшений, которые повышают уровень безопасности корпоративных данных. Среди ключевых нововведений — внедрение системы журналирования событий с использованием протокола Syslog», — рассказал Дмитрий Макаров, руководитель продукта MULTIDIRECTORY.

«Это внедрение позволит оперативно отслеживать и анализировать события, происходящие внутри нашей службы каталогов. Второе важное изменение касается доработки механизмов парольной защиты, благодаря чему сводится к минимуму вероятность несанкционированного доступа и риск утечки чувствительной информации. Эти обновления позволят нашим заказчикам эффективнее управлять своими информационными активами, обеспечивая устойчивое развитие бизнеса и надёжную защиту данных».

Не так давно мы публиковали обзор MULTIDIRECTORY, в котором рассмотрели функциональные возможности, архитектуру и сценарии применения системы.