Resumen: 


Un nuevo rootkit ataca los sistemas Linux mediante el despliegue de paquetes específicamente diseñados.

 

Los rootkits, son paquetes maliciosos diseñados para permitir el acceso no autorizado de un software al sistema. Además, son difíciles de detectar y una vez instalados, pueden interceptar comandos legítimos para filtrar archivos, carpetas e inclusive procesos.

 

El malware, recientemente detectado por los investigadores, fue apodado como Syslogk y parece permitirle a los atacantes utilizar técnicas avanzadas para llevar a cabo la ocultación de procesos maliciosos en los ordenadores de sus víctimas.

 

Todo parece indicar que está en pleno desarrollo y está basado en un antiguo rootkit de código abierto conocido como Adore-Ng.

 

Capacidades de Syslogk: 

Ocultar directorios

Ocultar procesos

Ocultar el tráfico de red

Cargar backdoors

Inspeccionar los paquetes TCP

Ejecutar cargas útiles de forma remota

 

De acuerdo con un análisis publicado por Avast, durante el ataque, Syslogk es cargado cómo módulo del kernel en los dispositivos de sus víctimas.

 

Una vez ahí, el malware elimina su entrada desde la lista de módulos instalados para evadir su detección.

 

Más adelante, Syslogk carga un backdoor conocido como Rekoobe, que permanecerá latente en la máquina comprometida hasta que el rootkit reciba un paquete “mágico”.

 

Los paquetes mágicos Wake On Lan (WOL), son herramientas utilizadas para encender, apagar o reiniciar los dispositivos conectados a una red local o a Internet.

 

Cuando Syslogk detecta el paquete adecuado, inicia o apaga el backdoor según las instrucciones de sus operadores.

 

Finalmente, el backdoor es cargado con el objetivo de darle al atacante un shell remoto en la máquina comprometida, que le permitirá ejecutar comandos, exfiltrar datos, tomar posesión de cuentas, entre otras cosas.

 

Dado el temprano desarrollo del rootkit, es probable que en poco tiempo adquiera nuevas capacidades que lo conviertan en una amenaza mucho más comprometedora o peligrosa.

 

Dicho esto, se le insta a todos los administradores a tomar las medidas necesarias para prevenir la instalación de Syslogk.

 

Recomendaciones:

Medidas para prevenir la descarga de malware

Mantener sus dispositivos actualizados y parcheados

Activar la autenticación de dos factores

Evitar descargar archivos sospechosos

No abrir enlaces desconocidos

Ejecutar programas antivirus de última generación

 

Referencias:

https://www.bleepingcomputer.com/news/security/new-syslogk-linux-rootkit-uses-magic-packets-to-trigger-backdoor/

https://blog.malwarebytes.com/how-tos-2/2020/01/how-to-prevent-a-rootkit-attack/

 

 

Folio 236