СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
15.01.2025
#Dev#ИБ#Инфра

Анализ руткита sysinitd: угроза кибербезопасности в Linux

Анализ руткита sysinitd: угроза кибербезопасности в Linux

Изображение: www.fortinet.com

В недавнем сообщении блога команда FortiGuard Incident Response (FGIR) представила подробный анализ кибератаки, в ходе которой злоумышленник развернул сложный руткит с именем «sysinitd.ko». Учитывая актуальность проблем кибербезопасности в современных условиях, данное событие привлекло значительное внимание.

Описание атаки

Атака была осуществлена с использованием сценария оболочки «Install.sh», который позволил злоумышленнику установить не только руткит, но и двоичный файл пользовательского пространства «sysinitd». В процессе атаки были предприняты следующие действия:

  • Добавление записей для руткита в определенные системные файлы для обеспечения его загрузки при старте системы.
  • Установка общего объекта «sysinitd.so» в каталог /usr/share/empty/.
  • Инициализация и запуск модулей руткита в скомпрометированной системе.

Детальный анализ руткита

Дальнейший анализ показал, что в скомпрометированной системе Ivanti в папке /usr/share/empty/ были обнаружены два вредоносных файла, включая модуль ядра руткита с именем «sysinitd.ko» (также известный как «sysinitd.so»). В ходе исследования FGIR выявила ряд характеристик и механизмов работы вредоносного ПО, в частности:

  • Перехват входящего сетевого трафика.
  • Инициализация вредоносного файла в пользовательском пространстве.
  • Методы взаимодействия между руткит-модулем и исполняемым файлом.

Методы маскировки и управления

Руткит «sysinitd» использует хитрые методы маскировки своей деятельности. Выдавая себя за программу bash с вводящим в заблуждение названием процесса «bash», он затрудняет задачу системным администраторам по его обнаружению. Этот процесс может выполнять команды с правами root, что значительно увеличивает уровень угрозы для скомпрометированной системы.

Дальнейший анализ показал, что родительский процесс руткита действует как демоноподобный процесс, который управляет дочерними задачами, такими как:

  • Запуск дочернего процесса.
  • Перезапуск при необходимости.
  • Завершение работы дочернего процесса.

Удалённый контроль и мониторинг

Для демонстрации контроля над взломанной системой Linux был разработан Python-скрипт, который позволяет злоумышленникам выполнять команды удаленно. Этот скрипт обеспечивает наблюдение за взаимодействием и результатами выполнения команд, что особенно важно для киберпреступников. На скриншоте Wireshark, представленном в отчете, показаны данные о трафике, что подтверждает активную работу руткита.

Заключение

Анализ поведения руткита сосредоточен на его способности устанавливать функцию перехвата Netfilter, позволяющую перехватывать входящий TCP-трафик с помощью установки перехвата на NF_INET_PRE_ROUTING. Это событие подчеркивает необходимость повышенного внимания к вопросам кибербезопасности и усиленной защиты критически важных систем.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу. Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: