Rootkit kernel Linux rahasia baru bernama syslogk telah terlihat dalam pengembangan di alam liar dan menyelubungi muatan berbahaya yang dapat dikendalikan dari jarak jauh oleh musuh menggunakan paket lalu lintas jaringan ajaib.
“Rootkit Syslogk sangat didasarkan pada Adore-Ng tetapi menggabungkan fungsionalitas baru yang membuat aplikasi mode pengguna dan rootkit kernel sulit untuk dideteksi,” kata peneliti keamanan Avast David lvarez dan Jan Neduchal dalam sebuah laporan yang diterbitkan Senin.
Adore-Ng, rootkit open-source yang tersedia sejak 2004, melengkapi penyerang dengan kontrol penuh atas sistem yang disusupi. Ini juga memfasilitasi proses penyembunyian serta artefak berbahaya khusus, file, dan bahkan modul kernel, sehingga lebih sulit untuk dideteksi.
“Modul ini dimulai dengan menghubungkan dirinya ke berbagai sistem file. Modul ini menggali inode untuk sistem file root, dan menggantikan penunjuk fungsi readdir() inode itu dengan salah satu dari miliknya sendiri,” catat LWN.net saat itu. “Versi Adore berfungsi seperti yang digantikannya, kecuali bahwa ia menyembunyikan file apa pun yang dimiliki oleh pengguna dan ID grup tertentu.”
Selain kemampuannya untuk menyembunyikan lalu lintas jaringan dari utilitas seperti netstat, yang disimpan di dalam rootkit adalah muatan bernama “PgSD93ql” yang tidak lain adalah trojan backdoor terkompilasi berbasis C bernama Rekoobe dan dipicu setelah menerima paket ajaib.
“Rekoobe adalah bagian dari kode yang ditanamkan di server yang sah,” kata para peneliti. “Dalam hal ini tertanam di server SMTP palsu, yang memunculkan shell ketika menerima perintah yang dibuat khusus.”
Secara khusus, Syslogk direkayasa untuk memeriksa paket TCP yang berisi nomor port sumber 59318 untuk meluncurkan malware Rekoobe. Menghentikan payload, di sisi lain, membutuhkan paket TCP untuk memenuhi kriteria berikut –
- Bidang yang dicadangkan dari header TCP diatur ke 0x08
- Port sumber antara 63400 dan 63411 (termasuk)
- Port tujuan dan alamat sumber sama dengan yang digunakan saat mengirim paket ajaib untuk memulai Rekoobe, dan
- Berisi kunci (“D9sd87JMaij”) yang di-hardcode di rootkit dan terletak di variabel offset paket ajaib
Untuk bagiannya, Rekoobe menyamar sebagai server SMTP yang tampaknya tidak berbahaya tetapi pada kenyataannya didasarkan pada proyek sumber terbuka yang disebut Tiny SHell dan secara diam-diam menggabungkan perintah pintu belakang untuk memunculkan shell yang memungkinkan untuk mengeksekusi perintah sewenang-wenang.
Syslogk menambah daftar malware Linux mengelak yang baru ditemukan seperti BPFDoor dan Symbiote, menyoroti bagaimana penjahat dunia maya semakin menargetkan server Linux dan infrastruktur cloud untuk meluncurkan kampanye ransomware, serangan cryptojacking, dan aktivitas terlarang lainnya.
“Rootkit adalah bagian berbahaya dari malware,” kata para peneliti. “Kernel rootkit sulit untuk dideteksi dan dihapus karena bagian dari malware ini berjalan di lapisan yang diistimewakan.”