www.securedata.com

Malware Linux Baru Ini Bisa Tetap Tersembunyi Secara Diam-Diam – Syslogk

Malware Linux Baru Ini Sangat Licik Karena Bisa Tetap Tersembunyi Secara Diam-Diam – Syslogk

malware linux baru
technologywire.net

Malware Linux tersembunyi baru yang di sebut Syslogk menyediakan pintu belakang yang tetap tersembunyi di mesin target selama pengontrol nya menyiarkan apa yang di sebut “paket ajaib” dari mana saja di Internet.

Menurut peneliti Avast, rootkit Syslogk Linux menyediakan Trojan backdoor yang di kenal sebagai Rekoobe dan menggunakan sejumlah teknik untuk menyembunyikan backdoor saat di butuhkan.

Untung nya, versi pindaian Syslogk Avast hanya berfungsi pada versi kernel Linux yang lebih lama, tetapi malware tersebut tampak nya sedang dalam pengembangan.

Malware Rekoobe di gunakan oleh APT31 atau kelompok yang disebut Microsoft’s Circonium, sebuah ancaman yang di dukung oleh negara China. Rekoobe di dasarkan pada TinyShell, sebuah proyek sumber terbuka untuk pintu belakang UNIX. Rootkit Syslogk berisi referensi ke TinyShell hingga 13 Desember 2018.

Sementara itu, Syslogk terutama mengandalkan Adore-Ng, rootkit kernel Linux open source Cina yang masih dalam pengembangan tahun ini, tetapi saat ini hanya mendukung kernel Linux versi 3.x, di bandingkan dengan seri 5.x dari inti. . sedang dalam pengembangan.

Syslogk menambahkan fitur baru untuk membuat aplikasi mode pengguna dan rootkit kernel lebih sulit di deteksi dari pada Adore-Ng, yang sudah dapat menyembunyikan file, proses, dan modul kernel.

Peneliti Avast percaya bahwa grup ini mengembangkan Rekoobe dan Syslogk secara khusus untuk membuat mereka bekerja bersama.

Contoh Rekoobe yang di temukan oleh Avast di sematkan di server email SMPT palsu. Pintu belakang di picu ketika paket TCP yang di buat khusus atau yang di sebut “paket ajaib” di terima dari penyerang jarak jauh. Penyerang yang menggunakan Syslogk menggunakan paket ajaib dapat menghentikan dan memulai backdoor Rekoobe dari jarak jauh.

Perusahaan menjelaskan peran paket ajaib dalam kemampuan Syslogk untuk meluncurkan Rekoobe dari jarak jauh dalam mode ruang pengguna.

“Alih-alih terus menjalankan aliran yang berguna, itu dapat di mulai atau di hentikan dari jarak jauh sesuai kebutuhan dengan mengirimkan paket lalu lintas jaringan yang di buat khusus,” jelas nya.

“Ini di sebut paket ajaib karena memiliki format khusus dan kemampuan khusus. Dalam implementasi ini, penyerang dapat memulai operasi tanpa memiliki port pemantauan pada mesin yang terinfeksi, sehingga perintah entah bagaimana ‘secara ajaib’ di jalankan pada mesin yang terinfeksi.” .

Meskipun dukungan terbatas untuk versi kernel Linux, Avast mengklaim bahwa menggabungkan Syslogk dan Rebooke pada server SMTP palsu adalah perangkat yang efektif untuk penyerang.

“Kami telah memperhatikan bahwa rootkit Syslogk (dan payload Rekoobe) sangat cocok ketika di gunakan secara rahasia dengan server SMTP palsu. Pikirkan betapa tersembunyi nya hal itu; pintu belakang yang tidak akan di muat sampai Anda memiliki paket ajaib Saat di tanya, muncul menjadi layanan sah yang tersembunyi di memori, tersembunyi di disk, berjalan “secara ajaib” dari jarak jauh melalui jaringan. Bahkan jika di temukan selama pemindaian port jaringan, tampak nya itu adalah server SMTP yang sah. ”

 

 

 

 

Sumber: zdnet.net

Originally posted 2022-06-14 20:32:20.

Check Also

keuntungan dan kerugian vpn iphone tetap menyala

Kelebihan Dan Kekurangan Membiarkan VPN iPhone Tetap Aktiv

Yang Akan Terjadi Jika Anda Membiarkan VPN iPhone Anda Tetap Menyala Sepanjang Waktu Salah satu …