Linux : le rootkit Syslogk utilise un paquet magique pour réveiller une backdoor

Un nouveau rootkit baptisé "Syslogk" cible les machines Linux et il utilise un paquet magique spécial pour réveiller une porte dérobée endormie sur la machine compromise.

Le rootkit Syslogk serait en cours de développement et visiblement les auteurs se sont inspirés d'un vieux rootkit nommé Adore-Ng, qui parlera peut être à certains d'entre vous. Quant à Syslogk en lui-même, et puisque c'est un rootkit, il agit directement au niveau du noyau de Linux. De ce fait, il est capable de charger ses propres modules dans le noyau Linux (les versions 3.X sont supportées), de charger une porte dérobée nommée "Rekoobe", d'inspecter les paquets TCP, mais aussi de masquer des répertoires et du trafic réseau.

Comme il est proche du noyau, il peut agir en profondeur sur le système jusqu'à modifier le résultat des commandes pour filtrer les informations affichées. Par exemple, il peut masquer son processus dans la sortie d'une commande, ou le nom d'un fichier, d'un dossier, afin d'être plus difficilement détectable.

Lorsque Syslogk est chargé pour la première fois en tant que module du noyau, il supprime son entrée de la liste des modules installés afin d'éviter d'être détectés avec une inspection manuelle. Il laisse tout de même une trace de sa présence avec une interface dans /proc.

Une porte dérobée associée à un paquet magique

Parmi les modules (payloads) que Syslogk est capable de charger, Avast a découvert qu'il y avait une porte dérobée nommée Rekoobe, basée sur TinyShell. Elle présente la particularité de rester en sommeil sur la machine compromise jusqu'à ce que le rootkit reçoive, ce que l'on pourrait appeler un paquet magique, de la part des pirates informatiques afin de réveiller la backdoor. Cette histoire de paquet magique peut nous faire penser au principe du Wake on LAN où l'on réveille un ordinateur à distance grâce à un paquet spécifique. Dans le cas de Syslogk, c'est pareil, il va rechercher un paquet TCP avec certaines valeurs précises, dont un port source, un port de destination, une adresse source et une clé codée en dur.

En fonction de ce paquet, le rootkit Syslogk va démarrer ou arrêter la porte dérobée, ce qui signifie qu'elle ne sera pas toujours active, mais que c'est en quelque sorte une "porte dérobée à la demande". Une fois en ligne, le rootkit et la backdoor agissent comme un faux serveur SMTP, ce qui complexifie encore un peu plus la détection.

Pour le moment, il ne faut pas trop s'inquiéter, car Syslogk est en phase de développement donc ne sait pas encore si ce sera une menace importante par la suite. Les cybercriminels à l'origine de ce développement font en sorte de le rendre particulièrement furtif, donc il faudra se méfier, mais la bonne nouvelle pour le moment, c'est qu'il ne supporte pas les versions récentes du noyau Linux.

Source

Partagez cet article Partager sur Twitter Partager sur Facebook Partager sur Linkedin Partager sur Google+ Envoyer par mail

Florian Burnel

Ingénieur système et réseau, cofondateur d'IT-Connect et Microsoft MVP "Cloud and Datacenter Management". Je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.

florian has 3872 posts and counting.See all posts by florian

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.

 

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.