VENOM Linux rootkit


2017. január 27. 07:48

CH azonosító

CH-13857

Angol cím

VENOM Linux rootkit

Felfedezés dátuma

2017.01.10.

Súlyosság

Magas

Érintett rendszerek

Linux

Érintett verziók

Linux

Összefoglaló

A VENOM Linux rootkit egy két komponensből álló káros szoftver, amely jogosulatlan hozzáférést biztosít a kompromittált Linux szerverekhez.

Leírás

A kártevő root jogosultságokkal települhet.

A két komponens:

– egy userland bináris, amely biztosítja a titkosított backdoor-t a távoli kódfuttatáshoz és proxy funkciókhoz,
– egy minimális Linux Loadable Kernel Module (LKM), amely további port-knocking szolgáltatást nyújt a backdoor-nak.

A támadó igyekszik törölni minden lokális nyomot, ezért nagyon ajánlott valamilyen távoli szolgáltatás használata (például remote syslog).

Működése:

– a bináris állományok az áldozat számítógépén fordítódnak le, a /dev/shm elérési úton,
– az elérési utak, köztük a futásidejűek is megváltoznak, de mindig legitim rendszerkomponensekre mutatnak,
– a helyi logokat törli és módosítja a fájlrendszer időbélyegeit,
– a rendszer újraindításakor módosítja a rendszer inicializáló szkriptjeit (/etc/rc.d/init.d/functions).

Hálózati IoC-k:

– a kernel port-knocking működéséhez szükséges 3 specifikus TCP csomag: “TCP Source Port + Sequence Number == 1221”,
– a userland knocking-hez szükséges TCP csomag tartalmazza a “SSH-2.5-OpenSSH_6.1.9” bejegyzést,
– forgalom a TCP 9090-es porton bináris vagy ELF fájlokkal,
– RAW socketek.

Fájlrendszer IoC-k:

– ellenőrizze a rendszer init szkriptjeinek integritását (/etc/rc.d/init.d/functions),
– ellenőrizze a váratlan LKM-eket, például “cpu_cachelift”,
– ellenőrizze a /var/lib/mkinitramfs file-t,
– ellenőrizze a /etc/X11/applnk/.window file-t,
– ellenőrizze a /usr/share/man/man5/printers_cupsd.conf.5.gz file-t,
– ellenőrizze a RAW socket-et (netstat/ss) használó futó folyamatokat (pl. crond):
raw    0    0 0.0.0.0:6   0.0.0.0:*    7    18505/crond.

Sztringek a binárisokban, illetve a TCP/9090 felett:

%%VENOM%CTRL%MODE%%
%%VENOM%OK%OK%%
%%VENOM%WIN%WN%%
%s%c%d:%d
%%VENOM%AUTHENTICATE%%
. entering interactive shell
%s%c%c%c%s

. processing ltun request
. processing rtun request
. processing get request
. processing put request
– accept failed
– listen failed
– bind failed
venom by mouzone
justCANTbeSTOPPED

Támadás típusa

backdoor
execute arbitrary code

Hatás

Loss of integrity (Sértetlenség elvesztése)

Szükséges hozzáférés

Remote/Network (Távoli/hálózat)

Hivatkozások

Egyéb referencia: security.web.cern.ch

Legfrissebb sérülékenységek
CVE-2025-40602 – SonicWall SMA1000 Missing Authorization sérülékenysége
CVE-2025-59374 – ASUS Live Update Embedded Malicious Code sérülékenysége
CVE-2025-20393 – Cisco Multiple Products Improper Input Validation sérülékenysége
CVE-2025-58360 – OSGeo GeoServer Improper Restriction of XML External Entity Reference sérülékenysége
CVE-2018-4063 – Sierra Wireless AirLink ALEOS Unrestricted Upload of File with Dangerous Type sérülékenysége
CVE-2025-14174 – Google Chromium Out of Bounds Memory Access sérülékenysége
CVE-2025-14611 – Gladinet CentreStack and Triofox Hard Coded Cryptographic sérülékenysége
CVE-2025-43529 – Apple Multiple Products Use-After-Free WebKit sérülékenysége
CVE-2025-21621 – GeoServer Reflected Cross-Site Scripting (XSS) sérülékenység
CVE-2025-64471 – Fortinet FortiWeb sérülékenysége
Tovább a sérülékenységekhez »