这种新的Linuxrootkit恶意软件已经针对受害者

影响Linux的新rootkit(在新标签中打开)已发现能够加载和隐藏恶意程序的系统。正如Avast的网络安全研究人员所揭示的，rootkit恶意软件(在新标签中打开)，称为Syslogk，基于一个名为Adore-Ng的旧的开源rootkit。

它也处于(活跃)发展的相对早期阶段，因此它是否会演变成一个全面的威胁，还有待观察。

分享您对网络安全的看法，并免费获得《2022年黑客手册》。帮助我们了解企业如何为后Covid世界做准备，以及这些活动对其网络安全计划的影响。在本次调查结束时输入您的电子邮件以获取价值10.99美元/10.99英镑的bookazine。

当Syslogk加载时，它首先从已安装模块列表中删除其条目，这意味着发现它的唯一方法是通过/proc文件系统中的公开接口。除了隐藏自己不受人工检查之外，它还能够隐藏托管已删除恶意软件的目录、隐藏进程以及网络流量。

Avast的研究人员发现了一种这样的有效载荷，称为ELF:Rekoob，或更广为人知的Rekoobe。该恶意软件是用C语言编写的后门木马。Syslogk可以将其放置在受感染的端点上(在新标签中打开)，然后让它处于休眠状态，直到它从恶意软件的操作员那里收到一个“魔术包”。魔术口袋既可以启动也可以停止恶意软件。

“我们观察到Syslogkrootkit(和Rekoobe有效负载)在与假SMTP服务器一起秘密使用时完美对齐，”Avast在博客文章中解释道。“考虑一下这可能是多么隐秘;在某些魔术数据包发送到机器之前不会加载的后门。当被查询时，它似乎是隐藏在内存中、隐藏在磁盘上、远程“神奇地”执行、隐藏在网络中的合法服务。即使在网络端口扫描过程中发现它，它似乎仍然是一个合法的SMTP服务器。”

BleepingComputer解释说，Rekoobe本身基于TinyShell，它也是开源的并且可以广泛使用。它用于执行命令，这意味着这是造成损害的地方-威胁参与者使用Rekoobe窃取文件、泄露敏感信息、接管帐户等。

此时恶意软件也更容易被检测到，这意味着骗子在部署和运行攻击的第二阶段时需要格外小心。