LINUX.ORG.RU

Snapekit: новый руткит, нацеленный на системы Arch Linux

 , ,

Snapekit: новый руткит, нацеленный на системы Arch Linux

0

1

Исследователи из Gen Threat Labs выявили новый сложный руткит Snapekit, который нацелен на систему Arch Linux версии 6.10.2-arch1-1 на архитектуре x86_64. Snapekit позволяет злоумышленникам получать несанкционированный доступ к системе и управлять ею, при этом оставаясь незамеченными.

Руткит внедряется в работу операционной системы, перехватывая и изменяя 21 системный вызов — механизм коммуникации между приложениями и ядром операционной системы. Snapekit использует специальный дроппер для развертывания. Руткит способен распознавать и избегать популярных инструментов анализа и отладки, таких как Cuckoo Sandbox, JoeSandbox, Hybrid-Analysis, Frida, Ghidra и IDA Pro. При обнаружении одного из инструментов Snapekit меняет свое поведение, чтобы избежать обнаружения.

Основная задача Snapekit — скрывать вредоносный код, оставаясь в пользовательском пространстве, а не в более контролируемом пространстве ядра. Такой подход значительно усложняет обнаружение и анализ угрозы. Кроме того, руткит применяет защитные механизмы PTrace для выявления попыток отладки, что добавляет сложности для аналитиков и ИБ-специалистов.

Snapekit обладает многослойными средствами обхода, которые позволяют избегать не только автоматизированных средств анализа (песочниц и виртуальных машин), но и затрудняют ручной анализ. Создатель руткита, известный под ником Humzak711, планирует в скором времени опубликовать проект Snapekit с открытым исходным кодом на GitHub.

Подробности (cybersecuritynews, англ.)

>>> Подробности (securitylab, рус.)

★★★★

Проверено: hobbit ()
Последнее исправление: hobbit (всего исправлений: 4)

Чот я не понял, «скрывать вредоносный код, оставаясь в пользовательском пространстве», типа появляется какой-то левый LD_PRELOAD что-ли? Типа хватаемся за враперы ситемных вызовов в glibc?

gns ★★★★★
()

Если он остаётся незамеченный, то как тогда его нашли? Может они сами его и написали?

keeper_b ★★★★
()

Делать вирсииядрозависимый руткит для роллинга, это было гениально

One ★★★★★
()

Так а откуда он берется хоть, известно? Малварь снова надо конпелять от рута?

Gonzo ★★★★★
()
faust@Rizen53600 ~> uname -ar
Linux Rizen53600 6.11.2-arch1-1 #1 SMP PREEMPT_DYNAMIC Fri, 04 Oct 2024 21:51:11 +0000 x86_64 GNU/Linux
faust@Rizen53600 ~> yay -Ss Snapekit
faust@Rizen53600 ~> yay -Ss snapekit
faust@Rizen53600 ~>

А как им заразиться? Чёт не получается, или это только для одарённых?

drfaust ★★★★★
()

Какой вектор атаки? Из интересного на арче разве что steam deck, он ведь десктоп ос для опытных линуксоидов. Ну, ньюби ещё на manjaro. Не понятно, какая с них может быть выгода.

InterVi ★★★★★
()
Ответ на: комментарий от InterVi

он ведь десктоп ос для опытных линуксоидов

Отнюдь, для рачешкольников скорее

XOXO
()

Какая-то желтуха

xDShot ★★★★★
()
Ответ на: комментарий от gns

Да скучно как-то, последнее время. Даже на арче сидя и то скучаю - слишком уж всё стабильно.

drfaust ★★★★★
()
Ответ на: комментарий от InterVi

И там и там не будет ядра версии 6.10.2-arch1-1

One ★★★★★
()

Руткит внедряется в работу операционной системы, перехватывая и изменяя 21 системный вызов — механизм коммуникации между приложениями и ядром операционной системы.

А почему только для рача? Там какое-то ядро особое или в «окружении» что-то такое накручено, чего нет в других ОС? Если я этот 6.10.2-arch1-1 на архитектуре x86_64 поставлю себе на Debian у меня не заработает?

micronekodesu ★★★
()

Сегодня 1 апреля или в арче уже досовские прерывания завезли?

PhD
()
Ответ на: комментарий от micronekodesu

Если я этот 6.10.2-arch1-1 на архитектуре x86_64 поставлю себе на Debian у меня не заработает?

На этом вашем линупсе даже троян без красноглазинга не заработает, да.

x22 ★☆
()

На скрине парсинг базы что выдает команда modinfo про модуль ядра. В данном случае этот модуль просто собран под ядро : vermagic.

Жаль что на скрине не показывают поле filename :(

mx__ ★★★★★
()

Где скачать исходники? Какие хедеры нужно доустанавливать? С какими хоть ключами собирать, есть cmake? Что делать, если 6.11.2.arch1-1?

DzenPython
()

Snapekit позволяет злоумышленникам получать несанкционированный доступ к системе и управлять ею, при этом оставаясь незамеченной.

Эээ… «незамеченной»? Это ведь о злоумышленниках? Тогда

Snapekit позволяет злоумышленникам получать несанкционированный доступ к системе и управлять ею, при этом оставаясь незамеченными.

debugger ★★★★★
()

А чего там по ссылке унвалябельный сервис 502? Лор-эффект?

Чего теперь, мы все умрём?

R_He_Po6oT ★★★★★
()
Ответ на: комментарий от One

Над интелом с их мельтдауном сначала тоже ражли...

kirill_rrr ★★★★★
()

Не понятно, это о том что СекюреБут - решето или наоборот, причина его включить?

kirill_rrr ★★★★★
()

Арчик пришел к успеху - теперь с персональными вирусами?

bender ★★★★★
()

Нужно было ставить Debian!)))

nuxster ★★★
()
Ответ на: комментарий от debugger

«Как управлять системой, не привлекая внимания сисдаминов»

mumpster ★★★★★
()

Всего 2 вопроса:

1. Где инструкция по сборке и установке?

2. Зачем школьникам руткит, им же можно просто скрипт в крон положить?

ya-betmen ★★★★★
()

Ее, больше не неуловимый Джо! <картинка Гарольда, скрывающего боль/>

burgertroll
()

перехватывая и изменяя 21 системный вызов

Двадцать первый или двадцать один?

Xintrea ★★★★★
()
Ответ на: комментарий от frunobulax

Второй день мимо топика хожу и только сейчас допёр почему такое название у утилиты. :)

Что такое/кто такой snapek?

Xintrea ★★★★★
()
Ответ на: комментарий от hatred

Создатель руткита, известный под ником Humzak711, планирует в скором времени опубликовать проект Snapekit с открытым исходным кодом на GitHub.

Видимо, из AUR ставить

alt-tab-let ★★
()
Ответ на: комментарий от alt-tab-let

Видимо, из AUR ставить

Как вариант. Всегда думал, вот ведь, можешь сделать пакет, для себя, а потом кто-то такой же пакет сделает в AUR или подхватит «сироту» и по сути, можно сделать дичь… Если пользователь невнимателен и неглядя использует yay/pamac/etc

hatred ★★★
()
Для того чтобы оставить комментарий войдите или зарегистрируйтесь.