Un rootkit qui sévit sur Linux en infectant une machine par les iFrame a été découvert la semaine dernière. Les experts indiquent que c’est un malware unique en son genre.

Le 13 novembre 2012, un internaute a posté un rootkit Linux sur la mailing list Full Disclosure afin d’obtenir des clarifications sur le rôle du rootkit.

Tout d’abord, le rootkit cible les plateformes Linux 64 bits et notamment la dernière version Debian 2.6.32-5. Il serait encore en développement puisque plusieurs fonctions ne sont pas correctement implémentées.

Il utilise des manipulations complexes afin de dissimuler son activité comme ne jamais appeler une même fonction une seconde fois en dupliquant chacune des fonctions pour les appeler séparément.

L’injection iFrame

Le mécanisme utilisé pour l’injection iFrame est très sophistiqué. Le malware remplace la fonction système tcp_sendmsg (fonction responsable de la construction des paquets TCP) par une de ses fonctions propres. Le but est que les iFrame malveillants soient injectés dans le trafic http par une modification directe des paquets TCP.

L’attaque par injection se produit sur n’importe quelle page (cela fonctionne également pour les pages qui n’ont pas être chargées avec les erreurs classiques 404 et autres) chargée par le navigateur.

Ce rootkit utilise une approche innovante du drive-by-download qui se différencie des habituelles injections automatisées par de simples scripts PHP. Cela indique certainement la tendance que de nombreux malwares emprunteront dans le futur.




Noter cet article (de 1 = Nul à 5 = Excellent) Valider

Dossier

RSS
12



Événements SSI