Οι ερευνητές ασφάλειας της Trend Micro ανακάλυψαν ένα νέο rootkit trojan που στοχεύει μόνο συστήματα με βάση τα Linux που τρέχουν σε x86 και ARM (Raspberry Pi) πλατφόρμες.
Το όνομα του rοotkit είναι Umbreon και πήρε το όνομά του από ένα Pokemon πλάσμα που κρύβεται στις σκιές, ένα ταιριαστό όνομα για ένα rootkit.
Σύμφωνα με την Trend Micro, το Umbreon έχει χρησιμοποιηθεί σε live επιθέσεις και η εταιρεία λαμβάνει πλέον δείγματα για την ανάλυση από τις εκτεθειμένες συσκευές.
Τα καλά νέα είναι ότι η εγκατάσταση του Umbreon δεν είναι αυτοματοποιημένη και οι επιτιθέμενοι πρέπει να μπουν σε ένα σύστημα πρώτα και στη συνέχεια να εγκαταστήσουν χειροκίνητα το rootkit στην χακαρισμένη συσκευή.
Αυτή η διαδικασία εγκατάστασης έχει και την αρνητική της πλευρά, καθώς, κυρίως επειδή οι επιτιθέμενοι μπορούν να εγκαταστήσουν το rootkit σε διαφορετική θέση του μολυσμένου συστήματος κάθε φορά, κάνοντας την αυτόματη ανίχνευση ακόμα πιο δύσκολη από ό,τι είναι ήδη.
Η ανίχνευση του Umbreon δεν είναι καθόλου εύκολη. Επειδή το ίδιο το trojan εισάγει τον εαυτό του στις libc λειτουργίες, μόνο εργαλεία που δεν χρησιμοποιούν αυτήν τη βιβλιοθήκη μπορούν να το εντοπίσουν.
Η GNU C βιβλιοθήκη (libc) είναι ένα βασικό συστατικό πολλών compilers των γλωσσών προγραμματισμού, σήμερα, όπως οι Ruby, PHP, Perl, Python και άλλες. Ως εκ τούτου, τα εργαλεία που γράφονται σε αυτές τις γλώσσες δεν θα είναι σε θέση να ανιχνεύσουν το Umbreon, το οποίο θα είναι σε θέση να εντοπίσει τυχόν εντολές αναζήτηση για το φάκελο ή τη θέση του, να κρυφτεί και στη συνέχεια να χρησιμοποιήσει το libc για να παρέμβει στα αποτελέσματα.
Η Trend Micro λέει ότι μόνο τα εργαλεία που έχουν προγραμματιστεί να χρησιμοποιούν τα Linux kernel syscalls άμεσα θα είναι σε θέση να παρακάμψουν το άγρυπνο μάτι του rootkit. Η εταιρεία αναφέρει ότι δημιούργησε ένα τέτοιο εργαλείο, αλλά δεν το έχει κυκλοφορήσει στο κοινό. Παρ’ όλα αυτά, θα κυκλοφορήσει κάποιες οδηγίες αφαίρεσής του στην ιστοσελίδα της.
Το Umbreon, το οποίο είναι ένα ring 3 (επίπεδο χρήστη) rootkit, είναι κάπως εύκολο να αφαιρεθεί σε σύγκριση με ένα ring 0 rootkit, αλλά διαχειριστές με μη τεχνικές γνώσεις μπορεί να καταστρέψουν το λειτουργικό τους σύστημα, εάν δεν είναι προσεκτικοί.
Όσο για τις τεχνικές δυνατότητές του, το Umbreon είναι ένα πολύ επικίνδυνο εργαλείο, με τη δυνατότητα να επιμένει μεταξύ επανεκκινήσεων, να υποκλέπτει όλη την κυκλοφορία του δικτύου, να διακόπτει και να τροποποιεί τις εντολές τερματικού, ακόμη και να ανοίγει μια σύνδεση με τον εισβολέα, επιτρέποντάς του να συνδεθεί στη συσκευή του θύματος.
Το θέμα με το Pokemon συνεχίζεται σε ολόκληρο τον κώδικα του rootkit, μιας και το SSH backdoor component που επιτρέπει στους επιτιθέμενους να έχουν πρόσβαση στις συσκευές ονομάζεται Espeon, το όνομα ενός άλλου Pokemon πλάσματος.