VENOM Linux rootkit


2017. január 27. 07:48

CH azonosító

CH-13857

Angol cím

VENOM Linux rootkit

Felfedezés dátuma

2017.01.10.

Súlyosság

Magas

Érintett rendszerek

Linux

Érintett verziók

Linux

Összefoglaló

A VENOM Linux rootkit egy két komponensből álló káros szoftver, amely jogosulatlan hozzáférést biztosít a kompromittált Linux szerverekhez.

Leírás

A kártevő root jogosultságokkal települhet.

A két komponens:

– egy userland bináris, amely biztosítja a titkosított backdoor-t a távoli kódfuttatáshoz és proxy funkciókhoz,
– egy minimális Linux Loadable Kernel Module (LKM), amely további port-knocking szolgáltatást nyújt a backdoor-nak.

A támadó igyekszik törölni minden lokális nyomot, ezért nagyon ajánlott valamilyen távoli szolgáltatás használata (például remote syslog).

Működése:

– a bináris állományok az áldozat számítógépén fordítódnak le, a /dev/shm elérési úton,
– az elérési utak, köztük a futásidejűek is megváltoznak, de mindig legitim rendszerkomponensekre mutatnak,
– a helyi logokat törli és módosítja a fájlrendszer időbélyegeit,
– a rendszer újraindításakor módosítja a rendszer inicializáló szkriptjeit (/etc/rc.d/init.d/functions).

Hálózati IoC-k:

– a kernel port-knocking működéséhez szükséges 3 specifikus TCP csomag: „TCP Source Port + Sequence Number == 1221”,
– a userland knocking-hez szükséges TCP csomag tartalmazza a „SSH-2.5-OpenSSH_6.1.9” bejegyzést,
– forgalom a TCP 9090-es porton bináris vagy ELF fájlokkal,
– RAW socketek.

Fájlrendszer IoC-k:

– ellenőrizze a rendszer init szkriptjeinek integritását (/etc/rc.d/init.d/functions),
– ellenőrizze a váratlan LKM-eket, például „cpu_cachelift”,
– ellenőrizze a /var/lib/mkinitramfs file-t,
– ellenőrizze a /etc/X11/applnk/.window file-t,
– ellenőrizze a /usr/share/man/man5/printers_cupsd.conf.5.gz file-t,
– ellenőrizze a RAW socket-et (netstat/ss) használó futó folyamatokat (pl. crond):
raw    0    0 0.0.0.0:6   0.0.0.0:*    7    18505/crond.

Sztringek a binárisokban, illetve a TCP/9090 felett:

%%VENOM%CTRL%MODE%%
%%VENOM%OK%OK%%
%%VENOM%WIN%WN%%
%s%c%d:%d
%%VENOM%AUTHENTICATE%%
. entering interactive shell
%s%c%c%c%s

. processing ltun request
. processing rtun request
. processing get request
. processing put request
– accept failed
– listen failed
– bind failed
venom by mouzone
justCANTbeSTOPPED

Támadás típusa

backdoor
execute arbitrary code

Hatás

Loss of availability (Elérhetőség elvesztése)
Loss of confidentiality (Bizalmasság elvesztése)
Loss of integrity (Sértetlenség elvesztése)

Szükséges hozzáférés

Remote/Network (Távoli/hálózat)

Hivatkozások

Egyéb referencia: security.web.cern.ch

Legfrissebb sérülékenységek
CVE-2024-20295 – Cisco IMC sérülékenysége
CVE-2024-3400 – Palo Alto Networks PAN-OS sérülékenysége
CVE-2024-3566 – Windows CreateProcess sérülékenysége
CVE-2024-22423 – yt-dlp sérülékenysége
CVE-2024-1874 – PHP sérülékenysége
CVE-2024-24576 – Rust sérülékenysége
CVE-2023-45590 – Fortinet FortiClientLinux sérülékenysége
CVE-2024-29988 – Microsoft Windows SmartScreen sérülékenysége
CVE-2024-26234 – Microsoft Windows proxy driver sérülékenysége
CVE-2023-6320 – LG webOS sérülékenysége
Tovább a sérülékenységekhez »