VENOM Linux rootkit

CH azonosító

CH-13857

Angol cím

VENOM Linux rootkit

Felfedezés dátuma

2017.01.10.

Súlyosság

Magas

Érintett rendszerek

Linux

Érintett verziók

Linux

Összefoglaló

A VENOM Linux rootkit egy két komponensből álló káros szoftver, amely jogosulatlan hozzáférést biztosít a kompromittált Linux szerverekhez.

Leírás

A kártevő root jogosultságokkal települhet.

A két komponens:

– egy userland bináris, amely biztosítja a titkosított backdoor-t a távoli kódfuttatáshoz és proxy funkciókhoz,
– egy minimális Linux Loadable Kernel Module (LKM), amely további port-knocking szolgáltatást nyújt a backdoor-nak.

A támadó igyekszik törölni minden lokális nyomot, ezért nagyon ajánlott valamilyen távoli szolgáltatás használata (például remote syslog).

Működése:

– a bináris állományok az áldozat számítógépén fordítódnak le, a /dev/shm elérési úton,
– az elérési utak, köztük a futásidejűek is megváltoznak, de mindig legitim rendszerkomponensekre mutatnak,
– a helyi logokat törli és módosítja a fájlrendszer időbélyegeit,
– a rendszer újraindításakor módosítja a rendszer inicializáló szkriptjeit (/etc/rc.d/init.d/functions).

Hálózati IoC-k:

– a kernel port-knocking működéséhez szükséges 3 specifikus TCP csomag: “TCP Source Port + Sequence Number == 1221”,
– a userland knocking-hez szükséges TCP csomag tartalmazza a “SSH-2.5-OpenSSH_6.1.9” bejegyzést,
– forgalom a TCP 9090-es porton bináris vagy ELF fájlokkal,
– RAW socketek.

Fájlrendszer IoC-k:

– ellenőrizze a rendszer init szkriptjeinek integritását (/etc/rc.d/init.d/functions),
– ellenőrizze a váratlan LKM-eket, például “cpu_cachelift”,
– ellenőrizze a /var/lib/mkinitramfs file-t,
– ellenőrizze a /etc/X11/applnk/.window file-t,
– ellenőrizze a /usr/share/man/man5/printers_cupsd.conf.5.gz file-t,
– ellenőrizze a RAW socket-et (netstat/ss) használó futó folyamatokat (pl. crond):
raw    0    0 0.0.0.0:6   0.0.0.0:*    7    18505/crond.

Sztringek a binárisokban, illetve a TCP/9090 felett:

%%VENOM%CTRL%MODE%%
%%VENOM%OK%OK%%
%%VENOM%WIN%WN%%
%s%c%d:%d
%%VENOM%AUTHENTICATE%%
. entering interactive shell
%s%c%c%c%s

. processing ltun request
. processing rtun request
. processing get request
. processing put request
– accept failed
– listen failed
– bind failed
venom by mouzone
justCANTbeSTOPPED