隐身，棘手删除rootkit目标Linux系统和x86

安全研究人员已经确定了一个新的Linux rootkits，尽管从用户模式运行，可能很难检测和删除。

在黑暗中隐藏的神奇宝贝角色之后，罗龙称为Umbreon，自2015年初以来，rootkit一直在发展，现在正在销售地下市场。它针对X86，X86-64和ARM架构上的基于Linux的系统，包括许多嵌入式设备，如路由器。

根据防病毒公司趋势科技的恶意软件研究人员，Umbreon是一个所谓的戒指rootkit，这意味着它从用户模式运行，并且不需要内核权限。尽管存在这种明显的限制，但它非常能够隐藏自己并持续存在于系统上。

rootkit使用技巧来劫持标准C库（Libc）函数，而无需实际安装任何内核对象。Libc提供系统调用函数，即其他Linux程序可以用于读写文件，产卵过程或发送网络数据包等重要操作。

Umbreon劫持了这些函数，并强制其他Linux可执行文件来使用自己的libc象征库。这将rootkit放在中间位置，能够修改其他程序所做的系统调用并改变其输出。

rootkit还创建了一个隐藏的Linux帐户，可以通过Linux支持的任何身份验证方法访问，包括SSH（Secure Shell）。此帐户不会出现在/ etc / passwd等文件中，因为rootkit可以在读取时修改这些文件的输出，趋势科学研究人员在博客文章中表示。

Umbreon还有一个名为Espeon的后门组件，以另一个神奇宝贝字符命名，可以在受影响设备的受监视的以太网接口上接收到具有特殊字段值的TCP数据包时，为攻击者的机器建立反向shell。这意味着攻击者可以通过通过Internet将特制的数据包发送到受感染的设备来打开远程壳牌。

它很难使用标准的Linux工具检测Umbreon，因为它们中的大多数是用C编写的，依赖于Libc，其输出rootkit劫持roijacks表示。“一种方法是开发一个小型工具，可以直接使用Linux内核Syscalls列出默认Umbreon Rootkit文件夹的内容。”

研究人员说，从受感染的系统中删除来自受感染系统的rootkit也可能是棘手的，特别是对于缺乏经验的用户来说，这可能会使系统无法使用，因此可以使系统无法使用。

趋势科技为新rootkit的文件名和哈希，手动删除说明和yara检测规则提供了妥协指标。

似乎rootkit是为手动安装而设计的，这意味着攻击者在通过其他漏洞泄露它们后手动在系统上安装它。

虽然许多桌面Linux系统接收自动修补程序，但通常由用户保持最新，嵌入式设备，如消费者路由器和基于IP的摄像机很少。

结果，有数百种嵌入式设备在那里易受已知的漏洞利用，并且常规地感染恶意软件。就在上周，Web安全公司SucuRi阻止了一个源于两个僵尸网络的大规模DDOS攻击，其中一个由受感染的中央电视台摄像机组成，一个由劫持家庭路由器组成的僵尸网络组成。