Un malware pentru Linux, construit special pentru platformele x64 a intrat în lumina reflectoarelor zilele acestea: Rootkit.Linux.Snakso.a. Este un rootkit interesant care folosește (ca orice rootkit), toate istrumentele și tehnicile disponibile pentru a se ascunde în sistem și face tot posibilul să își extindă infecțiile către alte mașini. Modul de răspândire e ingenios: server-ele Linux infectate ce au și funcții de server web primesc automat malware-ul și îl distribuie prin scenarii de tip drive-by utilizatorilor neavizați și/sau neprotejați.
Modulul malware a fosts cris special pentru kernel-ul Linux 2.6.32-5-amd64, cel mai nou folosit de versiunea pe 64 de biți a Debian Squeezy. Binarul are o dimensiune de peste 500k și se pare că nu e încă finalizat deoarece mai multe opțiuni nu sunt încă complet funcționale.
Dincolo de aspectele tehnice interesante prin care își construiește sistemul de apărare și încearcă să stea ascuns în sistem e de remarcat modul în care se răspândește: înlocuiește funcția tcp_sendmsg din Linux (responsabilă cu crearea pachetelor TCP) cu una proprie, ce inserează codul iFrame periculos în momentul în care sunt construite pachetele TCP ce ajung în browser-ul victimei. Așa se face că pe mașină nu se găsește nimic dubios în pagina HTML servită.
E un concept interesant și mi se pare că ar fi bine să știți de existența lui.
via securelist
@bolovan
Se pare ca malware-ul e inca in stadiu de dezvoltare, asa cum am zis :). da e interesant modul de abordare.
si … intotdeauna am scris despre IT. Chestiile ce mi-au parut interesante.
@Ioane conform acestui site: http://blog.crowdstrike.com/2012/11/http-iframe-injecting-linux-rootkit.html se pare ca nu-i tocmai ok facut (destul de “amator”).
Sunt curios de metoda de infectare (propagare). Adevarat…n-am avut timp sa citesc (de fapt…in ultima vreme n-am mai avut vreme de nimic).
Din cele 30 secunde cat am avut la dispozitie sa citesc…sunt aspecte destul de interesante asupra metodei de detectie a sistemului (el trebuie sa-si scoata tablele de pointeri spre functii). Ce-mi pare dubios ii metoda de calcul a adreselor. Sunt sanse mari sa nu functioneze pe toate tipurile de procesoare pe 64 biti.
Bun material…interesant de studiat.
P.S. Ce patisi? Ai inceput sa public articole si din IT? Foarte bine…mai asteptam.