ลักษณะการทำงาน

Syslogk เป็น rootkit ที่เมื่อติดตั้งแล้วมันจะแฝงตัวเป็นโมดูล Kernal บนระบบปฏิบัติการ Linux โดยหลังจากติดตั้งในครั้งแรก มันจะทำการลบตัวมันเองออกจากรายการโมดูลที่ติดตั้งเพื่อหลีกเลี่ยงการตรวจสอบ ทางเดียวที่จะตรวจพบคือการตรวจสอบโดยใช้คำสั่ง /proc ในลักษณะตามภาพ

จากนั้นมันจะดักจับคำสั่งบน Linux เพื่อกรองข้อมูลบางอย่างที่มันไม่ต้องการให้แสดงผลออกไปเช่น คำสั่งเรียกดูไฟล์ โฟลเดอร์ รวมไปถึง การเรียกดู Process ที่ทำงานอยู่ นอกจากนี้ยังมีความสามารถในการซ่อนไดเร็กทอรีที่มีไฟล์อันตรายบนระบบ, ซ่อน Process, ซ่อนการรับส่งข้อมูลเครือข่าย, ตรวจสอบแพ็กเก็ต TCP ทั้งหมด รวมไปถึงเริ่มหรือหยุดการทำงานของเพย์โหลดจากระยะไกลได้ หนึ่งในเพย์โหลดที่ซ่อนอยู่ซึ่งค้นพบโดย Avast คือ Backdoor ที่มีชื่อว่า Rekoobe ซึ่งมันจะถูกโหลดลงมาหลังจากติดตั้ง Syslogk โดย Backdoor นี้จะไม่ทำงานจนกว่าจะได้รับ Magic Packets จากผู้โจมตี

Magic Packets จะทำหน้าที่คล้ายระบบ Wake on LAN ที่ใช้ในการเรียกอุปกรณ์ที่อยู่ในโหมดสลีปให้ทำงาน โดยมันจะทำงานได้ต่อเมื่อมีการระบุ Field เช่น Source IP, Destination IP, Destination Port ตรงกับที่ตั้งค่าไว้เท่านั้น เมื่อได้รับค่า Field ที่ถูกต้อง Rekoobe สามารถเริ่มหรือหยุดทำงานได้ทันทีตามที่ผู้โจมตีต้องการ ช่วยลดโอกาสในการตรวจจับได้อย่างมาก

ปัจจุบัน Syslogk อยู่ในช่วงเริ่มต้นของการพัฒนา และยังทำงานบน Kernel 3.x เท่านั้น จึงยังไม่ส่งผลกระทบต่อหลายๆองค์กร แต่อย่างไรก็ตาม ในอนาคต Syslogk จะปล่อยเวอร์ชันที่รองรับ Kernel เวอร์ชันล่าสุด ซึ่งจะขยายเป้าหมายให้กว้างขึ้นอย่างมาก

แนวทางการป้องกัน

ติดตามข่าวสารใหม่ๆอยู่เสมอ
อัพเดทระบบปฏิบัติการให้เป็นเวอร์ชันล่าสุด

ที่มา: Bleepingcomputer