Reptile Rootkit napada Linux sisteme
Novi rootkit zlonamjerni softver za modul Linux jezgra nedavno je objavljen na GitHub platformi i nazvan Reptile. To je rootkit otvorenog kôda koji ima mogućnost da sakrije sebe, druge zlonamjerne kôdove, datoteke, direktorijume i mrežni saobraćaj. Sigurnosni istraživači kompanije ASEC su otkrili ovaj rootkit.
Reptile Rootkit napada Linux sisteme; Source: Bing Image Creator
Za razliku od drugih rootkit zlonamjernih softvera, Reptile se ističe obrnutim komandnim okruženjem, omogućavajući laku kontrolu sistema, a njegov prepoznatljiv potez je Port Knocking. To mu omogućava da otvori određeni port na zaraženom sistemu, povezujući ga sa C&C serverom nakon što od napadača primi Magic Packet.
Reptile Rootkit funkcionisanje
Reptile rootkit pomaže instalaciju zlonamjernog softvera i omogućava napadačima pristup alatki komandne linije koja čeka da se obrnuta veza komandne linije izvrši na zaraženim sistemima, dajući kontrolu napadaču.
Napadači mogu da upravljaju obrnutom komandnom linijom bez navođenja C&C servera tako što će prosljeđivati određene pakete koristeći Port Knocking. Packet, alatka komandne linije, prima parametre za obrnutu vezu sa komandnim okruženjem i metodu kucanja porta.
Program za učitavanje dešifruje i instalira šifrovani Reptile rootkit modul jezgra sistema, izbjegavajući direktno postojanje kao datoteka. Rootkit, nakon učitavanja modula jezgra sistema, pokreće obrnuto komandno okruženje i čeka Magic Packet na određenom portu, jer adresa koja je primljena putem kucanja porta takođe može da isporuči adresu C&C servera.
Preporuke
Kako bi se spriječile ovakve bezbjednosne prijetnje neophodno je pregledati podešavanja ranjivog okruženja, uvijek ažurirati povezane sisteme na najnoviju verziju kako biste ih zaštitili od napada i koristiti pouzdano antivirusno riješenje.
Zaključak
Reptile rootkit je zlonamjerni softver za modul jezgra Linux operativnog sistema koji obezbjeđuje skrivenost za datoteke/direktorije i procese, kao i mrežnu komunikaciju. Pošto je otvorenog kôda, mogu ga lako koristiti razni napadači, a potvrđeni su i razni stvarni slučajevi napada. Zbog rootkit prirode, oni se često koriste zajedno sa drugim zlonamjernim kôdovima, ali pošto sam Reptile obezbjeđuje obrnuto komandno okruženje, sistem na kome je Reptile instaliran može da omogući kontrolu napadaču.
