VENOM Linux rootkit


2017. január 27. 07:48

CH azonosító

CH-13857

Angol cím

VENOM Linux rootkit

Felfedezés dátuma

2017.01.10.

Súlyosság

Magas

Érintett rendszerek

Linux

Érintett verziók

Linux

Összefoglaló

A VENOM Linux rootkit egy két komponensből álló káros szoftver, amely jogosulatlan hozzáférést biztosít a kompromittált Linux szerverekhez.

Leírás

A kártevő root jogosultságokkal települhet.

A két komponens:

– egy userland bináris, amely biztosítja a titkosított backdoor-t a távoli kódfuttatáshoz és proxy funkciókhoz,
– egy minimális Linux Loadable Kernel Module (LKM), amely további port-knocking szolgáltatást nyújt a backdoor-nak.

A támadó igyekszik törölni minden lokális nyomot, ezért nagyon ajánlott valamilyen távoli szolgáltatás használata (például remote syslog).

Működése:

– a bináris állományok az áldozat számítógépén fordítódnak le, a /dev/shm elérési úton,
– az elérési utak, köztük a futásidejűek is megváltoznak, de mindig legitim rendszerkomponensekre mutatnak,
– a helyi logokat törli és módosítja a fájlrendszer időbélyegeit,
– a rendszer újraindításakor módosítja a rendszer inicializáló szkriptjeit (/etc/rc.d/init.d/functions).

Hálózati IoC-k:

– a kernel port-knocking működéséhez szükséges 3 specifikus TCP csomag: “TCP Source Port + Sequence Number == 1221”,
– a userland knocking-hez szükséges TCP csomag tartalmazza a “SSH-2.5-OpenSSH_6.1.9” bejegyzést,
– forgalom a TCP 9090-es porton bináris vagy ELF fájlokkal,
– RAW socketek.

Fájlrendszer IoC-k:

– ellenőrizze a rendszer init szkriptjeinek integritását (/etc/rc.d/init.d/functions),
– ellenőrizze a váratlan LKM-eket, például “cpu_cachelift”,
– ellenőrizze a /var/lib/mkinitramfs file-t,
– ellenőrizze a /etc/X11/applnk/.window file-t,
– ellenőrizze a /usr/share/man/man5/printers_cupsd.conf.5.gz file-t,
– ellenőrizze a RAW socket-et (netstat/ss) használó futó folyamatokat (pl. crond):
raw    0    0 0.0.0.0:6   0.0.0.0:*    7    18505/crond.

Sztringek a binárisokban, illetve a TCP/9090 felett:

%%VENOM%CTRL%MODE%%
%%VENOM%OK%OK%%
%%VENOM%WIN%WN%%
%s%c%d:%d
%%VENOM%AUTHENTICATE%%
. entering interactive shell
%s%c%c%c%s

. processing ltun request
. processing rtun request
. processing get request
. processing put request
– accept failed
– listen failed
– bind failed
venom by mouzone
justCANTbeSTOPPED

Támadás típusa

backdoor
execute arbitrary code

Hatás

Loss of availability (Elérhetőség elvesztése)
Loss of confidentiality (Bizalmasság elvesztése)
Loss of integrity (Sértetlenség elvesztése)

Szükséges hozzáférés

Remote/Network (Távoli/hálózat)

Hivatkozások

Egyéb referencia: security.web.cern.ch

Legfrissebb sérülékenységek
CVE-2019-11001 – Reolink Multiple IP Cameras OS Command Injection sebezhetősége
CVE-2021-40407 – Reolink RLC-410W IP Camera OS Command Injection sebezhetősége
CVE-2024-20767 – Adobe ColdFusion Improper Access Control sebezhetősége
CVE-2024-55956 – Cleo Multiple Products Unauthenticated File Upload sebezhetősége
CVE-2024-50623 – Cleo Multiple Products Unrestricted File Upload sebezhetősége
CVE-2024-49138 – Windows Common Log File System Driver Elevation of Privilege sebezhetősége
CVE-2024-11639 – Ivanti CSA sérülékenysége
CVE-2024-42449 – Veeam Service Provider Console sérülékenysége
CVE-2024-42448 – Veeam Service Provider Console sérülékenysége
CVE-2024-42327 – Zabbix SQLi sérülékenysége
Tovább a sérülékenységekhez »