VENOM Linux rootkit


2017. január 27. 07:48

CH azonosító

CH-13857

Angol cím

VENOM Linux rootkit

Felfedezés dátuma

2017.01.10.

Súlyosság

Magas

Érintett rendszerek

Linux

Érintett verziók

Linux

Összefoglaló

A VENOM Linux rootkit egy két komponensből álló káros szoftver, amely jogosulatlan hozzáférést biztosít a kompromittált Linux szerverekhez.

Leírás

A kártevő root jogosultságokkal települhet.

A két komponens:

– egy userland bináris, amely biztosítja a titkosított backdoor-t a távoli kódfuttatáshoz és proxy funkciókhoz,
– egy minimális Linux Loadable Kernel Module (LKM), amely további port-knocking szolgáltatást nyújt a backdoor-nak.

A támadó igyekszik törölni minden lokális nyomot, ezért nagyon ajánlott valamilyen távoli szolgáltatás használata (például remote syslog).

Működése:

– a bináris állományok az áldozat számítógépén fordítódnak le, a /dev/shm elérési úton,
– az elérési utak, köztük a futásidejűek is megváltoznak, de mindig legitim rendszerkomponensekre mutatnak,
– a helyi logokat törli és módosítja a fájlrendszer időbélyegeit,
– a rendszer újraindításakor módosítja a rendszer inicializáló szkriptjeit (/etc/rc.d/init.d/functions).

Hálózati IoC-k:

– a kernel port-knocking működéséhez szükséges 3 specifikus TCP csomag: “TCP Source Port + Sequence Number == 1221”,
– a userland knocking-hez szükséges TCP csomag tartalmazza a “SSH-2.5-OpenSSH_6.1.9” bejegyzést,
– forgalom a TCP 9090-es porton bináris vagy ELF fájlokkal,
– RAW socketek.

Fájlrendszer IoC-k:

– ellenőrizze a rendszer init szkriptjeinek integritását (/etc/rc.d/init.d/functions),
– ellenőrizze a váratlan LKM-eket, például “cpu_cachelift”,
– ellenőrizze a /var/lib/mkinitramfs file-t,
– ellenőrizze a /etc/X11/applnk/.window file-t,
– ellenőrizze a /usr/share/man/man5/printers_cupsd.conf.5.gz file-t,
– ellenőrizze a RAW socket-et (netstat/ss) használó futó folyamatokat (pl. crond):
raw    0    0 0.0.0.0:6   0.0.0.0:*    7    18505/crond.

Sztringek a binárisokban, illetve a TCP/9090 felett:

%%VENOM%CTRL%MODE%%
%%VENOM%OK%OK%%
%%VENOM%WIN%WN%%
%s%c%d:%d
%%VENOM%AUTHENTICATE%%
. entering interactive shell
%s%c%c%c%s

. processing ltun request
. processing rtun request
. processing get request
. processing put request
– accept failed
– listen failed
– bind failed
venom by mouzone
justCANTbeSTOPPED

Támadás típusa

backdoor
execute arbitrary code

Hatás

Loss of integrity (Sértetlenség elvesztése)

Szükséges hozzáférés

Remote/Network (Távoli/hálózat)

Hivatkozások

Egyéb referencia: security.web.cern.ch

Legfrissebb sérülékenységek
CVE-2024-53104 – Linux Kernel sérülékenysége
CVE-2025-25256 – Fortinet FortiSIEM sebezhetősége
CVE-2022-40684 – Fortinet Multiple Products Authentication Bypass sebezhetősége
CVE-2025-59367 – ASUS DSL Router sérülékenysége
CVE-2025-64446 – Fortinet FortiWeb Path Traversal sérülékenysége
CVE-2025-2884 – TCG Out-of-Bounds read sérülékenysége
CVE-2025-24052 – Windows Agere Modem Driver Elevation of Privilege sérülékenysége
CVE-2025-0033 – SEV-SNP RMP Initialization sérülékenysége
CVE-2025-62214 – Visual Studio Remote Code Execution sérülékenysége
CVE-2025-62199 – Microsoft Office Remote Code Execution sérülékenysége
Tovább a sérülékenységekhez »