L’éditeur tchèque vient de trouver le cheval de Troie XOR.DDos qui infecte les systèmes Linux et pourrait servir à installer des rootkits pour lancer des attaques DDoS.

Le trojan nouvellement découvert modifie son installation selon l’environnement Linux de la victime et ensuite met en place un rootkit pour éviter sa détection. Bien qu’un Cheval de Troie similaire ait déjà été repéré sur des environnement Windows, il semble que cela soit la première fois qu’une déclinaison pour Linux ait été découverte.

« Il est très difficile d’installer un composant Rootkit au sein de Linux car il est nécessaire qu’il coïncide avec la version de la distribution de la victime » a déclaré un analyste mercredi à nos confrères de SC Magazine

La technique d’injection se base sur les utilisateurs qui n’ont pas changé leurs logins de connexion pour leurs périphériques. Si la tentative se révèle concluante, le cheval de Troie détermine s’il est compatible avec le noyau de la victime puis installe son rootkit.

Les indicateurs de compromission masqués

« Le rootkit cache tous les fichiers qui sont des indicateurs de compromission du système, et les victimes ne peuvent plus voir ces indicateurs. Il masque également les process et les autres indicateurs de compromission », poursuit M. Kalnai.

Il indique que la partie Rootkit de l’attaque a été repérée pour la première fois en octobre 2014. Le malware est capable de s’installer sur des systèmes 32 ou 64 bits serveurs web ou postes de travail ainsi que les systèmes en architecture ARM, ceci pouvant signifier l'infection d’un grand nombre de systèmes comme des routeurs, des objets connectés, des périphériques de type NAS ou encore des serveurs ARM.




Autres News Malwares

Noter cet article (de 1 = Nul à 5 = Excellent) Valider

Dossier

Droit d’accès et comptes à privilèges

Jacques Cheminat 0 143984
Equifax, Deloitte, Uber, les récentes violations de données ont souvent des techniques de piratages différentes, mais un élément commun, obtenir l’accès à des applications critiques comme les bases de données, les bases clients, les informations bancaires. En général ces programmes sont soumis à habilitation et rattachés à des comptes à privilèges. leur protection est donc une nécessité dans un monde de plus en plus ouvert et insécurisé. Dossier publié avec le concours de Kleverware.
RSS
12



Événements SSI