Malware rootkit Linux baru bernama ‘Syslogk’ sedang digunakan dalam serangan untuk menyembunyikan proses berbahaya, menggunakan “paket ajaib” yang dibuat khusus untuk membangunkan pintu belakang yang tidak aktif di perangkat.
Malware tersebut saat ini sedang dalam pengembangan berat, dan pembuatnya tampaknya mendasarkan proyek mereka pada Adore-Ng, rootkit open-source lama.
Syslogk dapat memaksa memuat modulnya ke dalam kernel Linux (versi 3.x didukung), menyembunyikan direktori dan lalu lintas jaringan, dan akhirnya memuat pintu belakang yang disebut ‘Rekoobe.’
Rootkit Linux adalah malware yang diinstal sebagai modul kernel di sistem operasi. Setelah diinstal, mereka mencegat perintah Linux yang sah untuk menyaring informasi yang tidak ingin ditampilkan, seperti keberadaan file, folder, atau proses.
Demikian pula, ketika pertama kali dimuat sebagai modul kernel, Syslogk akan menghapus entrinya dari daftar modul yang diinstal untuk menghindari pemeriksaan manual. Satu-satunya tanda kehadirannya adalah antarmuka yang terbuka di sistem file /proc.
Fungsi tambahan di rootkit memungkinkannya untuk menyembunyikan direktori yang berisi file berbahaya yang dijatuhkan di host, menyembunyikan proses, menyembunyikan lalu lintas jaringan, memeriksa semua paket TCP, dan memulai atau menghentikan muatan dari jarak jauh.
Salah satu muatan tersembunyi yang ditemukan oleh Avast adalah backdoor Linux bernama Rekoobe. Pintu belakang ini akan tertidur pada mesin yang disusupi sampai rootkit menerima “paket ajaib” dari pelaku ancaman.
Mirip dengan paket ajaib Wake on LAN, yang digunakan untuk membangunkan perangkat yang berada dalam mode tidur, Syslogk akan mendengarkan paket TCP yang dibuat khusus yang menyertakan nilai bidang “Reserved” khusus, penomoran “Port Sumber”, “Port Tujuan” dan “Alamat Sumber” cocok, dan kunci hardcoded.
Ketika paket ajaib yang tepat terdeteksi, Syslogks akan memulai atau menghentikan pintu belakang seperti yang diinstruksikan oleh aktor ancaman jarak jauh, secara drastis meminimalkan kemungkinan pendeteksiannya.
Pertimbangkan betapa tersembunyinya ini; pintu belakang yang tidak dimuat sampai beberapa paket ajaib dikirim ke mesin. Saat ditanya, tampaknya itu adalah layanan sah yang tersembunyi di memori, tersembunyi di disk, dijalankan secara ‘ajaib’ dari jarak jauh, tersembunyi di jaringan. Bahkan jika ditemukan selama pemindaian port jaringan, tampaknya masih merupakan server SMTP yang sah.” – Avast.
Rekoobe dimuat ke ruang mode pengguna di mana deteksi tidak serumit atau tidak mungkin seperti untuk Syslogk pada mode kernel, jadi lebih berhati-hati dengan pemuatannya sangat penting untuk keberhasilannya.
Rekoobe didasarkan pada TinySHell, perangkat lunak open-source lain dan tersedia secara luas, dan tujuannya adalah untuk memberikan penyerang cangkang jarak jauh pada mesin yang disusupi.
Ini berarti bahwa Rekoobe digunakan untuk menjalankan perintah, sehingga dampaknya mencapai tingkat tertinggi, termasuk pengungkapan informasi, eksfiltrasi data, tindakan file, pengambilalihan akun, dan banyak lagi.
Rootkit Syslogk adalah contoh lain dari malware yang sangat mengelak untuk sistem Linux yang ditambahkan di atas Symbiote dan BPFDoor yang baru ditemukan, yang keduanya menggunakan sistem BPF untuk memantau lalu lintas jaringan dan memanipulasinya secara dinamis.
Sistem Linux tidak lazim di kalangan pengguna biasa, tetapi mereka mendukung beberapa jaringan perusahaan paling berharga di luar sana, sehingga pelaku ancaman meluangkan waktu dan upaya untuk mengembangkan malware khusus untuk arsitektur.
Perkembangan yang paling berbahaya adalah Syslogk merilis versi yang mendukung versi kernel Linux yang lebih baru, yang akan sangat memperluas cakupan penargetan sekaligus.
Sumber: Bleeping Computer
