Resumen: Un nuevo rootkit ataca los sistemas Linux mediante el despliegue de paquetes específicamente diseñados.
Los rootkits, son paquetes maliciosos diseñados para permitir el acceso no autorizado de un software al sistema. Además, son difíciles de detectar y una vez instalados, pueden interceptar comandos legítimos para filtrar archivos, carpetas e inclusive procesos.
El malware, recientemente detectado por los investigadores, fue apodado como Syslogk y parece permitirle a los atacantes utilizar técnicas avanzadas para llevar a cabo la ocultación de procesos maliciosos en los ordenadores de sus víctimas.
Todo parece indicar que está en pleno desarrollo y está basado en un antiguo rootkit de código abierto conocido como Adore-Ng.
Capacidades de Syslogk: Ocultar directorios Ocultar procesos Ocultar el tráfico de red Cargar backdoors Inspeccionar los paquetes TCP Ejecutar cargas útiles de forma remota
De acuerdo con un análisis publicado por Avast, durante el ataque, Syslogk es cargado cómo módulo del kernel en los dispositivos de sus víctimas.
Una vez ahí, el malware elimina su entrada desde la lista de módulos instalados para evadir su detección.
Más adelante, Syslogk carga un backdoor conocido como Rekoobe, que permanecerá latente en la máquina comprometida hasta que el rootkit reciba un paquete “mágico”.
Los paquetes mágicos Wake On Lan (WOL), son herramientas utilizadas para encender, apagar o reiniciar los dispositivos conectados a una red local o a Internet.
Cuando Syslogk detecta el paquete adecuado, inicia o apaga el backdoor según las instrucciones de sus operadores.
Finalmente, el backdoor es cargado con el objetivo de darle al atacante un shell remoto en la máquina comprometida, que le permitirá ejecutar comandos, exfiltrar datos, tomar posesión de cuentas, entre otras cosas.
Dado el temprano desarrollo del rootkit, es probable que en poco tiempo adquiera nuevas capacidades que lo conviertan en una amenaza mucho más comprometedora o peligrosa.
Dicho esto, se le insta a todos los administradores a tomar las medidas necesarias para prevenir la instalación de Syslogk.
Recomendaciones: Medidas para prevenir la descarga de malware Mantener sus dispositivos actualizados y parcheados Activar la autenticación de dos factores Evitar descargar archivos sospechosos No abrir enlaces desconocidos Ejecutar programas antivirus de última generación
Referencias: https://blog.malwarebytes.com/how-tos-2/2020/01/how-to-prevent-a-rootkit-attack/ |
SÍGUENOS