Эксперт Trend Micro обнаружил руткит для Linux

Олег Иванов 07 Сентября 2016 - 23:17

Домашние пользователи

Linux

Trend Micro

Защита персональных данных

Бэкдоры

Руткиты

Кибершпионаж

...

Эксперт Trend Micro обнаружил руткит для Linux

Исследователи компании Trend Micro предупреждают о появлении руткита под Linux, распространяющийся через ручные установки и нацеленный на платформы Intel и ARM. Этот руткит предоставляет злоумышленникам полный контроль над зараженными устройствами.

Именуемый Umbreon, вредонос получил свое имя от одного из покемонов, который известен тем, что скрывается в темноте. Эксперты говорят, что эта характеристика вполне подходит данному руткиту. По словам Trend Micro, развитие этой вредоносной программы началось в начале 2015 года, хотя ее автор действует еще с 2013.

Руткит работает Umbreon работает в различных режимах: в режиме пользователя (кольцо 3), в режиме ядра (кольцо 0), гипервизор (кольцо -1), в режиме системного управления (кольцо -2). По мнению исследователей, чем ниже уровень, на котором работает руткит, тем сложнее его обнаружить и обезвредить.

«Несмотря на то, что в режиме пользователя (кольцо 3) руткит не устанавливает объекты ядра, из этого режима вполне возможно шпионить за пользователем и влиять на то, что происходит в операционной системе» - объясняет старший научный исследователь Trend Micro Фернандо Мерсез (Fernando Mercês).

Umbreon был успешно протестирован на трех различных платформах: x86, x86-64 и ARM (Raspberry Pi), результаты показали, что зловред портативный. Кроме того, как отмечает исследователь, написан руткит на чистом C и имеет некоторые дополнительные компоненты, написанные на Python и Bash.

Во время установки вредонос создает пользователя Linux со специальным GID (идентификатор группы), обеспечивая доступ к зараженной системе. Злоумышленник может получить доступ к учетной записи с помощью подключаемых модулей аутентификации, включая SSH. Созданный Umbreon пользователь не отображается в /etc/passwd по причине того, что функции libc перехватываются вредоносом.

Umbreon также включает в себя бэкдор под названием Espeon, тоже написанный на C. Он устанавливает связь со злоумышленником, минуя брандмауэры. Руткит может замаскировать себя с помощью утилиты Linux Strace. Таким образом ему удается обойти инструменты анализа трафика. Эксперт утверждает, что операция по удалению этого руткита может представлять некоторую сложность и привести систему в нерабочее состояние.

Следующая главная новость »

Подписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Татьяна Никитина 22 Ноября 2024 - 18:45

Windows Домашние пользователи

В мессенджер Signal для Windows добавили поддержку Arm64

Разработчики Signal выпустили обновление 7.34.0 для Windows-версии мессенджера. Устранен баг режима Dark, реализована поддержка процессоров с архитектурой Arm64 — таких как Snapdragon X Plus и Elite от Qualcomm.

Отныне приложение для IM-связи будет работать шустрее и более гладко на таких десктопах, притом без эмулятора, — так же, как при запускек на устройствах Microsoft Surface на базе ARM.

Поддержку этой аппаратной платформы недавно получил ряд других популярных Windows-программ: Google Chrome, Telegram, браузер Vivaldi, Adobe Illustrator, Slack.

В 2020 году доля ноутбуков на ARM составляла немногим более 1%. По прогнозам аналитиков, к концу десятилетия этот показатель возрастет до 40%.

Укреплению положения ARM на рынке десктопов способствуют рост популярности сервисов на основе генеративного ИИ, в частности, Copilot (их производительность на ARM выше), а также проблемы, которые начали испытывать Intel и AMD.

Мессенджер Signal — бесплатный продукт с открытым исходным кодом, разработанный с упором на безопасность и приватность. С августа доступ к Signal в рунете ограничен «в связи с нарушением требований российского законодательства» (цитата по РБК).

Эксперт Trend Micro обнаружил руткит для Linux

Читайте также