Linux-руткит Syslogk использует волшебные пакеты для запуска бэкдора

Новый руткит Syslogk быстро развивается и уже был замечен в дикой природе. Основой вредоноса стал Adore-ng , старый руткит с открытым исходным кодом.

Syslogk может принудительно загружать себя в модули ядра Linux, чтобы запустить бэкдор Rekoobe. Руткит невозможно обнаружить вручную, так как при первом запуске в качестве модуля ядра Syslogk удаляет свою запись из списка установленных модулей.

Обнаружить бэкдор не легче, так как он находится в спящем режиме, пока не получит волшебный пакет от злоумышленника. Волшебный пакет (magic packet) работает как стандартный кадр пробуждения, нацеленный на определенный сетевой интерфейс. Он позволяет получить удаленный доступ к компьютеру даже в режиме энергосбережения. Получив соответствующий волшебный пакет, Syslogk может запустить или остановить бэкдор в зависимости от полученной инструкции.

Согласно заявлению компании Avast , Syslogk работает еще эффективнее в связке с поддельным SMTP-сервером. Специалисты считают руткит крайне опасным, так как его невозможно обнаружить в памяти или на диске до получения волшебного пакета от злоумышленника.

Ранее сообщалось про другую вредоносную программу, использующую скрытый бэкдор – BFDoor. Она позволяет злоумышленнику удаленно подключиться к оболочке Linux и получить полный доступ к скомпрометированному устройству.