Linux-Malware aus China

Eine neu entdeckte, heimlich arbeitende Linux-Malware namens Syslogk öffnet eine Hintertür, die auf dem Zielrechner verborgen bleibt, bis ihr Kontrolleur von einem beliebigen Ort im Internet aus so genannte „magische Pakete“ sendet.

Laut Avast-Forschern liefert das Syslogk-Linux-Rootkit den als Rekoobe bekannten Backdoor-Trojaner und nutzt zahlreiche Techniken, um die Backdoor so lange zu verstecken, bis sie benötigt wird. Glücklicherweise funktioniert die von Avast analysierte Version von Syslogk nur auf älteren Versionen des Linux-Kernels, aber die Malware scheint in der Entwicklung zu sein.

Die Rekoobe-Malware wurde von der Gruppe APT31 oder, wie Microsoft es nennt, Zirconium, einem vom chinesischen Geheimdienst gesponserten Bedrohungsakteur, eingesetzt. Rekoobe basiert auf TinyShell, einem Open-Source-Projekt für eine UNIX-Backdoor. Im Syslogk-Rootkit gibt es Verweise auf TinyShell, die auf den 13. Dezember 2018 zurückgehen.

In der Zwischenzeit basiert Syslogk hauptsächlich auf dem chinesischen Open-Source-Kernel-Rootkit für Linux namens Adore-Ng, das sich in diesem Jahr noch in der Entwicklung befand, aber derzeit nur die Linux-Kernel-Version 3.x unterstützt, im Gegensatz zur 5.x-Serie des Kernels, die derzeit entwickelt wird.

Syslogk fügt neue Funktionen hinzu, um die Anwendung im Benutzermodus und das Kernel-Rootkit schwieriger zu entdecken als Adore-Ng, das bereits Dateien, seine Prozesse und das Kernel-Modul verstecken kann.

Die Avast-Forscher glauben, dass diese Gruppe Rekoobe und Syslogk speziell dafür entwickelt hat, dass sie Hand in Hand laufen.

Das von Avast gefundene Rekoobe-Beispiel war in einen gefälschten SMPT-Mail-Server eingebettet. Die Backdoor wird ausgelöst, wenn sie speziell gestaltete TCP-Pakete oder die so genannten „magischen Pakete“ von einem entfernten Angreifer empfängt. Ein Angreifer, der Syslogk mit magischen Paketen verwendet, kann die Rekoobe-Backdoor aus der Ferne stoppen und starten.

Das Unternehmen erklärt die Rolle der magischen Pakete, die Syslogk in die Lage versetzen, Rekoobe aus der Ferne im Userspace-Modus zu starten.

„Anstatt die Nutzlast kontinuierlich auszuführen, wird sie bei Bedarf aus der Ferne gestartet oder gestoppt, indem speziell gestaltete Netzwerkverkehrspakete gesendet werden“, erklärt das Unternehmen.

„Diese Pakete sind als magische Pakete bekannt, da sie ein spezielles Format und besondere Fähigkeiten haben. Bei dieser Implementierung kann ein Angreifer Aktionen auslösen, ohne einen abhörenden Port auf dem infizierten Rechner zu haben, so dass die Befehle auf eine Art ‚magisch‘ im System ausgeführt werden.“

Trotz der begrenzten Unterstützung für Linux-Kernel-Versionen argumentiert Avast, dass die Kombination von Syslogk und Rebooke auf einem gefälschten SMTP-Server ein mächtiges Toolset für einen Angreifer darstellt.

„Wir haben beobachtet, dass das Syslogk-Rootkit (und die Rekoobe-Nutzlast) perfekt aufeinander abgestimmt sind, wenn sie verdeckt in Verbindung mit einem gefälschten SMTP-Server eingesetzt werden. Stellen Sie sich vor, wie heimlich dies sein könnte: eine Hintertür, die nicht geladen wird, bis einige magische Pakete an den Rechner gesendet werden. Bei einer Abfrage scheint es sich um einen legitimen Dienst zu handeln, der im Speicher versteckt ist, auf der Festplatte versteckt ist, aus der Ferne „magisch“ ausgeführt wird und im Netzwerk versteckt ist. Selbst wenn er bei einem Netzwerk-Port-Scan gefunden wird, scheint er immer noch ein legitimer SMTP-Server zu sein.“