Eine neu entdeckte, heimlich arbeitende Linux-Malware namens Syslogk öffnet eine Hintertür, die auf dem Zielrechner verborgen bleibt, bis ihr Kontrolleur von einem beliebigen Ort im Internet aus so genannte „magische Pakete“ sendet.

Laut Avast-Forschern liefert das Syslogk-Linux-Rootkit den als Rekoobe bekannten Backdoor-Trojaner und nutzt zahlreiche Techniken, um die Backdoor so lange zu verstecken, bis sie benötigt wird. Glücklicherweise funktioniert die von Avast analysierte Version von Syslogk nur auf älteren Versionen des Linux-Kernels, aber die Malware scheint in der Entwicklung zu sein.

Die Rekoobe-Malware wurde von der Gruppe APT31 oder, wie Microsoft es nennt, Zirconium, einem vom chinesischen Geheimdienst gesponserten Bedrohungsakteur, eingesetzt. Rekoobe basiert auf TinyShell, einem Open-Source-Projekt für eine UNIX-Backdoor. Im Syslogk-Rootkit gibt es Verweise auf TinyShell, die auf den 13. Dezember 2018 zurückgehen.

In der Zwischenzeit basiert Syslogk hauptsächlich auf dem chinesischen Open-Source-Kernel-Rootkit für Linux namens Adore-Ng, das sich in diesem Jahr noch in der Entwicklung befand, aber derzeit nur die Linux-Kernel-Version 3.x unterstützt, im Gegensatz zur 5.x-Serie des Kernels, die derzeit entwickelt wird.

Syslogk fügt neue Funktionen hinzu, um die Anwendung im Benutzermodus und das Kernel-Rootkit schwieriger zu entdecken als Adore-Ng, das bereits Dateien, seine Prozesse und das Kernel-Modul verstecken kann.

Die Avast-Forscher glauben, dass diese Gruppe Rekoobe und Syslogk speziell dafür entwickelt hat, dass sie Hand in Hand laufen.

Das von Avast gefundene Rekoobe-Beispiel war in einen gefälschten SMPT-Mail-Server eingebettet. Die Backdoor wird ausgelöst, wenn sie speziell gestaltete TCP-Pakete oder die so genannten „magischen Pakete“ von einem entfernten Angreifer empfängt. Ein Angreifer, der Syslogk mit magischen Paketen verwendet, kann die Rekoobe-Backdoor aus der Ferne stoppen und starten.

Das Unternehmen erklärt die Rolle der magischen Pakete, die Syslogk in die Lage versetzen, Rekoobe aus der Ferne im Userspace-Modus zu starten.

„Anstatt die Nutzlast kontinuierlich auszuführen, wird sie bei Bedarf aus der Ferne gestartet oder gestoppt, indem speziell gestaltete Netzwerkverkehrspakete gesendet werden“, erklärt das Unternehmen.

„Diese Pakete sind als magische Pakete bekannt, da sie ein spezielles Format und besondere Fähigkeiten haben. Bei dieser Implementierung kann ein Angreifer Aktionen auslösen, ohne einen abhörenden Port auf dem infizierten Rechner zu haben, so dass die Befehle auf eine Art ‚magisch‘ im System ausgeführt werden.“

Trotz der begrenzten Unterstützung für Linux-Kernel-Versionen argumentiert Avast, dass die Kombination von Syslogk und Rebooke auf einem gefälschten SMTP-Server ein mächtiges Toolset für einen Angreifer darstellt.

„Wir haben beobachtet, dass das Syslogk-Rootkit (und die Rekoobe-Nutzlast) perfekt aufeinander abgestimmt sind, wenn sie verdeckt in Verbindung mit einem gefälschten SMTP-Server eingesetzt werden. Stellen Sie sich vor, wie heimlich dies sein könnte: eine Hintertür, die nicht geladen wird, bis einige magische Pakete an den Rechner gesendet werden. Bei einer Abfrage scheint es sich um einen legitimen Dienst zu handeln, der im Speicher versteckt ist, auf der Festplatte versteckt ist, aus der Ferne „magisch“ ausgeführt wird und im Netzwerk versteckt ist. Selbst wenn er bei einem Netzwerk-Port-Scan gefunden wird, scheint er immer noch ein legitimer SMTP-Server zu sein.“

Jakob Jung

Recent Posts

OCSF: Neuer Standard für Cybersicherheit

Eine Koalition aus der Cybersicherheits- und Technologiebranche hat ein Open-Source-Projekt angekündigt, um Datensilos zu durchbrechen,…

2 Tagen ago

Container auf der Überholspur

Container werden immer populärer, denn damit können Entwickler Anwendungen auf der Grundlage eines kontinuierlichen Entwicklungsmodells…

2 Tagen ago

So erkennen Sie Deepfakes

Deepfakes werden bei Cyberkriminellen immer beliebter. Um sich zu schützen, können Sie diese Schwachstellen in…

2 Tagen ago

Sicherer surfen mit Microsoft Edge

Der Browser Microsoft Edge bietet erweiterte Sicherheitsfunktionen, die beim Surfen im Internet und beim Besuch…

2 Tagen ago

Modernes Schwachstellen-Management

Die Sicherheit für Informationstechnologie (IT) ist etabliert, aber bei Operational Technologie (OT) ist noch vieles…

3 Tagen ago

So wehren Sie DDoS-Angriffe ab

Distributed-Denial-of-Service (DDoS)-Attacken werden immer gefährlicher. Wie Unternehmen mit dieser Gefahr umgehen sollten, schildert Security-Spezialist Steffen…

3 Tagen ago