Eine neu entdeckte, heimlich arbeitende Linux-Malware namens Syslogk öffnet eine Hintertür, die auf dem Zielrechner verborgen bleibt, bis ihr Kontrolleur von einem beliebigen Ort im Internet aus so genannte „magische Pakete“ sendet.

Laut Avast-Forschern liefert das Syslogk-Linux-Rootkit den als Rekoobe bekannten Backdoor-Trojaner und nutzt zahlreiche Techniken, um die Backdoor so lange zu verstecken, bis sie benötigt wird. Glücklicherweise funktioniert die von Avast analysierte Version von Syslogk nur auf älteren Versionen des Linux-Kernels, aber die Malware scheint in der Entwicklung zu sein.

Die Rekoobe-Malware wurde von der Gruppe APT31 oder, wie Microsoft es nennt, Zirconium, einem vom chinesischen Geheimdienst gesponserten Bedrohungsakteur, eingesetzt. Rekoobe basiert auf TinyShell, einem Open-Source-Projekt für eine UNIX-Backdoor. Im Syslogk-Rootkit gibt es Verweise auf TinyShell, die auf den 13. Dezember 2018 zurückgehen.

In der Zwischenzeit basiert Syslogk hauptsächlich auf dem chinesischen Open-Source-Kernel-Rootkit für Linux namens Adore-Ng, das sich in diesem Jahr noch in der Entwicklung befand, aber derzeit nur die Linux-Kernel-Version 3.x unterstützt, im Gegensatz zur 5.x-Serie des Kernels, die derzeit entwickelt wird.

Syslogk fügt neue Funktionen hinzu, um die Anwendung im Benutzermodus und das Kernel-Rootkit schwieriger zu entdecken als Adore-Ng, das bereits Dateien, seine Prozesse und das Kernel-Modul verstecken kann.

Die Avast-Forscher glauben, dass diese Gruppe Rekoobe und Syslogk speziell dafür entwickelt hat, dass sie Hand in Hand laufen.

Das von Avast gefundene Rekoobe-Beispiel war in einen gefälschten SMPT-Mail-Server eingebettet. Die Backdoor wird ausgelöst, wenn sie speziell gestaltete TCP-Pakete oder die so genannten „magischen Pakete“ von einem entfernten Angreifer empfängt. Ein Angreifer, der Syslogk mit magischen Paketen verwendet, kann die Rekoobe-Backdoor aus der Ferne stoppen und starten.

Das Unternehmen erklärt die Rolle der magischen Pakete, die Syslogk in die Lage versetzen, Rekoobe aus der Ferne im Userspace-Modus zu starten.

„Anstatt die Nutzlast kontinuierlich auszuführen, wird sie bei Bedarf aus der Ferne gestartet oder gestoppt, indem speziell gestaltete Netzwerkverkehrspakete gesendet werden“, erklärt das Unternehmen.

„Diese Pakete sind als magische Pakete bekannt, da sie ein spezielles Format und besondere Fähigkeiten haben. Bei dieser Implementierung kann ein Angreifer Aktionen auslösen, ohne einen abhörenden Port auf dem infizierten Rechner zu haben, so dass die Befehle auf eine Art ‚magisch‘ im System ausgeführt werden.“

Trotz der begrenzten Unterstützung für Linux-Kernel-Versionen argumentiert Avast, dass die Kombination von Syslogk und Rebooke auf einem gefälschten SMTP-Server ein mächtiges Toolset für einen Angreifer darstellt.

„Wir haben beobachtet, dass das Syslogk-Rootkit (und die Rekoobe-Nutzlast) perfekt aufeinander abgestimmt sind, wenn sie verdeckt in Verbindung mit einem gefälschten SMTP-Server eingesetzt werden. Stellen Sie sich vor, wie heimlich dies sein könnte: eine Hintertür, die nicht geladen wird, bis einige magische Pakete an den Rechner gesendet werden. Bei einer Abfrage scheint es sich um einen legitimen Dienst zu handeln, der im Speicher versteckt ist, auf der Festplatte versteckt ist, aus der Ferne „magisch“ ausgeführt wird und im Netzwerk versteckt ist. Selbst wenn er bei einem Netzwerk-Port-Scan gefunden wird, scheint er immer noch ein legitimer SMTP-Server zu sein.“

ZDNet.de Redaktion

Recent Posts

Microsoft nennt weitere Details zu kostenpflichtigen Patches für Windows 10

Erstmals liegen Preise für Verbraucher vor. Sie zahlen weniger als Geschäftskunden. Dafür beschränkt Microsoft den…

5 Stunden ago

Microsoft verschiebt erneut Copilot Recall

Die Entwickler arbeiten noch an weiteren „Verfeinerungen“. Windows Insider erhalten nun wohl eine erste Vorschau…

23 Stunden ago

GenKI im Job: Mitarbeitende schaffen Tatsachen

Laut Bitkom-Umfrage werden in jedem dritten Unternehmen in Deutschland private KI-Zugänge genutzt. Tendenz steigend.

1 Tag ago

97 Prozent der Großunternehmen melden Cyber-Vorfälle

2023 erlitten neun von zehn Unternehmen in der DACH-Region Umsatzverluste und Kurseinbrüche in Folge von…

1 Tag ago

„Pacific Rim“-Report: riesiges, gegnerisches Angriffs-Ökosystem

Der Report „Pacific Rim“ von Sophos beschreibt Katz-und-Maus-Spiel aus Angriffs- und Verteidigungsoperationen mit staatlich unterstützten…

1 Tag ago

DeepL setzt erstmals auf NVIDIA DGX SuperPOD mit DGX GB200-Systemen

NVIDIA DGX SuperPOD soll voraussichtlich Mitte 2025 in Betrieb genommen und für Forschungsberechnungen genutzt werden.

1 Tag ago