New Syslogk Linux Rootkit Lets Attackers Remotely Command It Using “Magic Packets”
2022/06/14 TheHackerNews — Syslogk という名の新しい Linux カーネル rootkit は、リモートから魔法のネットワーク・トラフィック・パケットを操る敵対者が、悪意のペイロードの隠蔽まで可能にすることが明らかになった。月曜日に Avast のセキュリティ研究者である David Álvarez と Jan Neduchal は、「Syslogk rootkit は Adore-Ng をベースにしているが、新しい機能が組み込まれており、ユーザーモード・アプリケーションとカーネル rootkit の検出を困難にしている」とレポートの中で語っている。
Adore-NG は 2004年から公開されているオープンソースの rootkit であり、攻撃者が感染させたシステムを、完全にコントロールさせるものだ。また、プロセスだけではなく、悪意のカスタムなアーティファクトとファイルだけではなく、カーネル・モジュールも隠すことができるため、検出が難しくなっている。

その当時に LWN.net は、「このモジュールは、様々なファイル・システムに接続するところから動き始める。Adore の系統は、ルート・ファイル・システムの inode を掘り起こし、対象となる inode の readdir() 関数ポインタを独自のものに置き換える。つまり、特定のユーザーとグループ ID が所有するファイルを隠すことを除いて、オリジナルのバージョンと同じように動作する」と指摘していた。
この rootkit は、netstat などのユーティリティから、ネットワーク・トラフィックを隠す機能に加えて、その内部に PgSD93ql というペイロードを格納している。それは、Rekoobe という C ベースのコンパイル済みバックドア・トロイの木馬に他ならず、Magic Packet を受信してから起動するようになっている。
研究者たちは、「Rekoobe は、正規のサーバーに埋め込まれたコードの一部である。また、今回のケースでは、偽の SMTP サーバに埋め込まれており、特別に細工されたコマンドを受信するとシェルを起動する仕掛けになっている」と述べている。
具体的には、Syslogk はソースポート番号 59318 を含む TCP パケットを検査し、Rekoobe マルウェアを起動するように細工されている。その一方で、ペイロードを停止させるには、TCP パケットにより以下の条件を満たす必要がある。
- TCP ヘッダーの Reserved フィールドが 0x08 に設定されていること。
- 送信元ポートが 63400 から 63411 の間であること。
- 送信先ポートおよび送信元アドレスが、Rekoobe を起動する Magic Packet の送信元と同じであること。
- rootkit にハードコードされたキー “D9sd87JMaij” が、Magic Packet の変数オフセットに格納されていること。
Rekoobe は、一見すると無害な SMTP サーバに見えるが、実際には Tiny SHell と呼ばれるオープンソース・プロジェクトをベースにしており、任意のコマンドを実行する Shell を生成するための、バックドア・コマンドを組み込んでいる。
最近に発見された BPFDoor や Symbiote などの回避型 Linux マルウェア・リストに、Syslogk も追加されることになった。この傾向は、サイバー犯罪者が Linux サーバーやクラウド・インフラを標的とした、ランサムウェア・キャンペーン/クリプト・ジャッキング攻撃などの活動に、積極的に取り組み始めていることを浮き彫りにしている。
研究者たちは、「この種の rootkit は危険なマルウェアだ。カーネル rootkit は、特権層で実行されるマルウェアであるため、検出および削除が困難な場合がある」と述べている。
6月13日の「Syslogk という Linux rootkit は危険:驚異的なスティルス性でバックドアを自在に制御」に続く、第二弾の Syslogk 情報です。ニュースソースは、前回と同じ Avast のようですが、異なる視点から掘り下げていますが、どちらも Rekoobe に注目しています。この Syslogk は、BPFDoor や Symbiote のグループに属する強力なマルウェアとなります。

You must be logged in to post a comment.