Un rootkit qui sévit sur Linux en infectant une machine par les iFrame a été découvert la semaine dernière. Les experts indiquent que c’est un malware unique en son genre.

Le 13 novembre 2012, un internaute a posté un rootkit Linux sur la mailing list Full Disclosure afin d’obtenir des clarifications sur le rôle du rootkit.

Tout d’abord, le rootkit cible les plateformes Linux 64 bits et notamment la dernière version Debian 2.6.32-5. Il serait encore en développement puisque plusieurs fonctions ne sont pas correctement implémentées.

Il utilise des manipulations complexes afin de dissimuler son activité comme ne jamais appeler une même fonction une seconde fois en dupliquant chacune des fonctions pour les appeler séparément.

L’injection iFrame

Le mécanisme utilisé pour l’injection iFrame est très sophistiqué. Le malware remplace la fonction système tcp_sendmsg (fonction responsable de la construction des paquets TCP) par une de ses fonctions propres. Le but est que les iFrame malveillants soient injectés dans le trafic http par une modification directe des paquets TCP.

L’attaque par injection se produit sur n’importe quelle page (cela fonctionne également pour les pages qui n’ont pas être chargées avec les erreurs classiques 404 et autres) chargée par le navigateur.

Ce rootkit utilise une approche innovante du drive-by-download qui se différencie des habituelles injections automatisées par de simples scripts PHP. Cela indique certainement la tendance que de nombreux malwares emprunteront dans le futur.




Noter cet article (de 1 = Nul à 5 = Excellent) Valider

Dossier

Droit d’accès et comptes à privilèges

Jacques Cheminat 0 143312
Equifax, Deloitte, Uber, les récentes violations de données ont souvent des techniques de piratages différentes, mais un élément commun, obtenir l’accès à des applications critiques comme les bases de données, les bases clients, les informations bancaires. En général ces programmes sont soumis à habilitation et rattachés à des comptes à privilèges. leur protection est donc une nécessité dans un monde de plus en plus ouvert et insécurisé. Dossier publié avec le concours de Kleverware.
RSS
12



Événements SSI