TrendMicro ha publicado un interesante análisis sobre el rootkit Linux Umbreon, un nuevo malware desarrollado por un Pokemon-fan VXer.
La nueva familia de rootkits ha sido llamado Umbreon, a partir del nombre de uno de los personajes de Pokémon. Se dirige a los sistemas Linux, incluyendo los dispositivos embebidos y cualquier otro sistema que ejecuta tanto en procesadores ARM IntelSegún los expertos, el Umbreon Rootkit fue desarrollado a principios de 2015 por un VXer que ha estado activo en el subterráneo mundo cibercriminal por lo menos desde 2013. Se ha afirmado en los foros clandestinos criminales que Umbreon es muy eficaz para evadir la detección.
"Los rootkits son persistentes amenazas destinadas a ser difícil de detectar/observan. Su principal objetivo es mantener en sí en sigilo y totalmente oculto a los administradores, analistas, usuarios, herramientas de exploración, forenses, y del sistema." el investigadoe de Trend Micro, Fernando Mercês comenta. "También pueden abrir una puerta trasera y / o utilizar un servidor C & C y proporcionar un atacante maneras para controlar y espiar a la máquina afectada."
Umbreon está clasificado como un anillo de 3 rootkit (o rootkit modo de usuario), ya que funciona en modo de usuario (anillo 3), esto significa que no instala los objetos del núcleo en el sistema, pero los ganchos funciones de bibliotecas del núcleo que son utilizados por varias aplicaciones como nivel intermedio de llamadas al sistema.
Una vez puesto en peligro el sistema de destino, el rootkit crea un usuario Linux válida que podría ser utilizado por los atacantes para acceder a ella a través de cualquier método de autenticación soportado por Linux a través de módulos enchufables de autenticación (PAM), incluyendo SSH.
Los investigadores de TrendMicro centraron su análisis en el componente de puerta trasera Espeon, escrito en C que lanza un shell cuando un usuario autenticado se conecta a él. Los atacantes también llamaron a este componente un Pokémon-
Una vez más, el autor utiliza el nombre de un Pokémon para sus componentes. Espeon permite a un atacante para establecer una conexión con su máquina, trabajando como una concha reversa para eludir los cortafuegos.
Espeon es capaz de capturar todo el tráfico de la interfaz Ethernet de la máquina infectada.
¿Como eliminar el Umbreon Rootkit de los sistemas infectados, es posible usar un Live CD de Linux y siga los pasos?
- Montar la partición donde se encuentra el directorio / usr; Se requieren privilegios de escritura.
- Copia de seguridad de todos los archivos antes de hacer cualquier cambio.
- Retire el
/etc/ld.soarchivo. Aleatorio. - Retire el
/usr/lib/libc.sodirectorio. Aleatorio. - Restaurar los atributos de los archivos
/usr/share/libc.so.random.arch.*.soy eliminarlos también. - Parchear la librería cargadora utilizar
/etc/ld.so.preloadnuevo. - Desmontar la partición y reiniciar el sistema normalmente.
- El procedimiento es factible porque el Umbreon es un rootkit anillo 3 (nivel de usuario).
