Новостной сайт Softpedia предупреждает о появлении itw нового руткита режима пользователя для Linux. Проведенный в Trend Micro анализ сэмплов показал, что зловред способен атаковать не только машины с архитектурой x86, но также ARM-платформы (Raspberry Pi), то есть встроенные устройства. Примечательно, что создатель руткита нарек его и бэкдор-компонент в честь покемонов, обладающих соответствующими случаю качествами, — «Умбреон» (прячется в ночи) и «Эспеон» (длинноухий персонаж, чутко улавливающий атмосферные изменения).

Согласно Trend Micro, разработка Umbreon стартовала в начале 2015 года, хотя его автор появился в сетевом андеграунде как минимум в 2013 году. По имеющимся у Softpedia сведениям, исходный код одной из более ранних версий руткита (2.21) уже утек в Сеть.

Написанный на С зловред устанавливается в систему вручную, следовательно, Linux-устройство должно быть предварительно взломано. Однако этот способ не только усложняет задачу атакующему, но и имеет свой плюс: место установки можно каждый раз менять, чтобы еще больше затруднить детектирование руткита автоматизированными средствами.

Обнаружить Umbreon и без того нелегко: он перехватывает функции libc с целью модификации результатов их работы (для шпионажа или изменения важных операций), поэтому против него невозможно применить инструмент, использующий эту библиотеку. Имея возможность контролировать системные вызовы через libc, зловред вовремя отследит поиск по его папкам и подменит результат.

В Trend Micro отмечают, что библиотеку libc используют большинство аналитических инструментов для Linux, и даже программы, написанные на скриптовых языках (Perl, Python, Ruby, PHP и т.п.), не годятся из-за того, что им нужен написанный на С интерпретатор. Задетектировать Umbreon можно лишь инструментом, который напрямую обращается к ядру Linux.

Оказавшись в системе, руткит прежде всего обеспечивает себе приоритетную загрузку, до запуска остальных программ формата ELF. В ходе инсталляции зловред создает учетную запись пользователя Linux с групповым ID. Этот аккаунт нужен атакующему для взаимодействия с бэкдором (Espeon) и доступен через аутентификацию — с помощью любого подключаемого модуля, поддерживаемого Linux, к примеру SSH. Бэкдор-аккаунт невозможно обнаружить поиском файлов типа /passwd, так как Umbreon, контролирующий системные вызовы через libc, непременно позаботится о провале таких попыток.

Компонент Espeon тоже написан на С и построен на основе libpcap. При подключении аутентифицированного пользователя он создает шелл; получив команду на установку связи с удаленным компьютером, бэкдор начинает работать как обратный шелл, позволяя атакующему обходить защитные экраны. Анализ показал, что Espeon способен перехватывать весь входящий TCP-трафик на главном интерфейсе Ethernet. Скрыть пакеты, адресованные бэкдору, помогает перехват функций libpcap.

Исследователи сообщили и приятную новость: поскольку Umbreon работает в режиме пользователя, удалить его реально, хотя для этого требуется определенный опыт. Наиболее простой путь — загрузить систему с диска LiveCD, создать резервные копии всех файлов и последовательно вычищать файлы и папки, связанные с руткитом, а также откатить привнесенные им изменения.

Категории: Аналитика, Вредоносные программы, Главное