FreshRSS

🔒
❌ À propos de FreshRSS
Il y a de nouveaux articles disponibles, cliquez pour rafraîchir la page.
À partir d’avant-hierFlux principal

Black Panther 2, Blade, Gardiens de la Galaxie 3… Tout ce que prévoit Marvel pour l’avenir du MCU

25 juillet 2022 à 12:27

Disney et Marvel sont loin d'en avoir terminé avec le Marvel Cinematic Universe (MCU). En 2022, en 2023 et en 2024 (et en 2025 ?), beaucoup de films et séries sont prévus. Voici le programme complet.  [Lire la suite]

Abonnez-vous aux newsletters Numerama pour recevoir l’essentiel de l’actualité https://www.numerama.com/newsletter/

Black Panther 2, Blade, Gardiens de la Galaxie 3… Tout ce que prévoit Marvel pour l’avenir du MCU

25 juillet 2022 à 12:27

Disney et Marvel sont loin d'en avoir terminé avec le Marvel Cinematic Universe (MCU). En 2022, en 2023 et en 2024 (et en 2025 ?), beaucoup de films et séries sont prévus. Voici le programme complet.  [Lire la suite]

Abonnez-vous aux newsletters Numerama pour recevoir l’essentiel de l’actualité https://www.numerama.com/newsletter/

Linux : le rootkit Syslogk utilise un paquet magique pour réveiller une backdoor

14 juin 2022 à 08:19

Un nouveau rootkit baptisé "Syslogk" cible les machines Linux et il utilise un paquet magique spécial pour réveiller une porte dérobée endormie sur la machine compromise.

Le rootkit Syslogk serait en cours de développement et visiblement les auteurs se sont inspirés d'un vieux rootkit nommé Adore-Ng, qui parlera peut être à certains d'entre vous. Quant à Syslogk en lui-même, et puisque c'est un rootkit, il agit directement au niveau du noyau de Linux. De ce fait, il est capable de charger ses propres modules dans le noyau Linux (les versions 3.X sont supportées), de charger une porte dérobée nommée "Rekoobe", d'inspecter les paquets TCP, mais aussi de masquer des répertoires et du trafic réseau.

Comme il est proche du noyau, il peut agir en profondeur sur le système jusqu'à modifier le résultat des commandes pour filtrer les informations affichées. Par exemple, il peut masquer son processus dans la sortie d'une commande, ou le nom d'un fichier, d'un dossier, afin d'être plus difficilement détectable.

Lorsque Syslogk est chargé pour la première fois en tant que module du noyau, il supprime son entrée de la liste des modules installés afin d'éviter d'être détectés avec une inspection manuelle. Il laisse tout de même une trace de sa présence avec une interface dans /proc.

Une porte dérobée associée à un paquet magique

Parmi les modules (payloads) que Syslogk est capable de charger, Avast a découvert qu'il y avait une porte dérobée nommée Rekoobe, basée sur TinyShell. Elle présente la particularité de rester en sommeil sur la machine compromise jusqu'à ce que le rootkit reçoive, ce que l'on pourrait appeler un paquet magique, de la part des pirates informatiques afin de réveiller la backdoor. Cette histoire de paquet magique peut nous faire penser au principe du Wake on LAN où l'on réveille un ordinateur à distance grâce à un paquet spécifique. Dans le cas de Syslogk, c'est pareil, il va rechercher un paquet TCP avec certaines valeurs précises, dont un port source, un port de destination, une adresse source et une clé codée en dur.

En fonction de ce paquet, le rootkit Syslogk va démarrer ou arrêter la porte dérobée, ce qui signifie qu'elle ne sera pas toujours active, mais que c'est en quelque sorte une "porte dérobée à la demande". Une fois en ligne, le rootkit et la backdoor agissent comme un faux serveur SMTP, ce qui complexifie encore un peu plus la détection.

Pour le moment, il ne faut pas trop s'inquiéter, car Syslogk est en phase de développement donc ne sait pas encore si ce sera une menace importante par la suite. Les cybercriminels à l'origine de ce développement font en sorte de le rendre particulièrement furtif, donc il faudra se méfier, mais la bonne nouvelle pour le moment, c'est qu'il ne supporte pas les versions récentes du noyau Linux.

Source

The post Linux : le rootkit Syslogk utilise un paquet magique pour réveiller une backdoor first appeared on IT-Connect.
❌