1. Home >
  2. Notícias >
  3. Notícias >
  4. Rootkit inspirado em Pokémon Go... >

Rootkit inspirado em Pokémon Go tem como alvo sistemas Linux

Author Photo
5:33 pm - 12 de setembro de 2016
Rootkit inspirado em Pokémon Go tem como alvo sistemas Linux

Um novo rootkit inspirado em Pokémon Go foi identificado pela empresa de segurança Trend Micro e tem como alvo sistemas Linux. Chamada de Umbreon, o malware possibilita que atacante tenha total controle do dispositivo infectado equipado com sistemas Linux x86, x86-64 e ARM.

Os rootkits são ameaças persistentes com a proposta de serem difíceis de detectar/encontrar. O seu principal objetivo é se manter (e manter outras ameaças) desapercebidas e totalmente escondidas dos administradores, analistas, usuários e também de ferramentas de escaneamento, de investigação e do sistema. O rootkit pode também abrir uma backdoor para usar um servidor C&C e fornecer ao atacante formas de controlar e espionar a máquina afetada.

Segundo a Trend Micro, a alusão ao Pokémon se deve a uma característica do Umbreon de se esconder na escuridão da noite, o que também lembra característica apropriada para um rootkit, no contexto de sua estratégia para não ser detectado. A Trend Micro detectou o Umbreon como parte da família ELF_UMBREON.

Os comentários em fóruns e canais de IRC por diversos usuários envolvidos afirmam que o rootkit é muito difícil de detectar e a pesquisa detalhada feita pela Trend Micro demonstra como ele tenta passar desapercebido dentro de um ambiente Linux.

O Umbreon é instalado manualmente por um atacante ao comprometer remotamente um servidor Linux, por exemplo.

De acordo com a Trend Micro, o Umbreon é um rootkit ring 3 (ou rootkit de modo usuário), o que permite que ele possa “falsificar” funções de bibliotecas centrais que executam operações importantes em um sistema, tais como salvar/ler arquivos, criação de processos ou o envio de pacotes através da rede.

Durante a instalação, o Umbreon cria um usuário Linux válido que o atacante pode usar com backdoor no sistema afetado. Essa conta pode ser acessada por meio de qualquer método de autenticação suportado pelo PAM do Linux, incluindo o SSH.

Esse usuário tem um GID (Group ID) especial que o rootkit confere para ver se o atacante está tentando acessar o sistema e assim liberar o acesso. Não é possível ver esse usuário listado em arquivos como /etc/passwd por que as funções da libc são “hookadas” (falsificadas) pelo Umbreon.

Instruções para remoção

Apesar do Umbreon ser um rootkit ring 3 (nível de usuário), a Trend Micro não aconselha que a remoção do malware seja feita pelo usuário: isso pode trazer dano irreparável ao sistema e colocá-lo em estado irrecuperável.

Nesse caso, o aconselhável é contar com soluções específicas que colaborem especificamente para a remoção de rootkits em Linux.

Tags:
Linux
malware

Notícias relacionadas

Notícias
Phi-3 Mini: Microsoft introduz o menor modelo de IA até o momento
Notícias
Falta uma semana para o IT Forum Trancoso 2024
Notícias
Blanca Treviño, CEO da Softtek: “O Brasil foi como um mestrado para mim”
Notícias
Google demite mais funcionários após protestos contra acordo com Israel
Ver todas as noticias

Newsletter de tecnologia para você

Os melhores conteúdos do IT Forum na sua caixa de entrada.