Xuất hiện thêm mã độc mang tên nhân vật Pokemon Go tấn công Linux
(Dân trí) - Hãng bảo mật Trend Micro vừa công bố một phát hiện mới về phần mềm độc hại có tên Rootkit Umbreon nhắm vào hệ thống Linux. Mặc dù chúng chạy trên chế độ người dùng nhưng rất khó để phát hiện và loại bỏ.
Rootkit Umbreon đặt tên theo một nhân vật Pokémon hay trốn trong bóng tối. Nó nhắm đến các hệ thống Linux dựa trên cấu trúc x86, x86-64 và ARM, bao gồm nhiều thiết bị nhúng như router.
Theo hãng bảo mật Trend Micro, Umbreon được xếp loại vòng 3 rootkit, có nghĩa là nó chạy trên chế độ người dùng mà không cần quyền hạt nhân, có khả năng che giấu chính mình và bám trụ bền bỉ trên hệ thống. Các rootkit sử dụng một mẹo để chiếm quyền điều khiển các chức năng của LIBC (LIBC là một thư viện chuẩn của C được sử dụng bởi các hệ điều hành tựa Unix). LIBC cung cấp các chức năng hệ thống gọi là các chương trình Linux khác có thể sử dụng cho các hoạt động quan trọng như đọc và viết các tập tin, quá trình sản sinh hay gửi các gói tin mạng.
Umbreon tấn công các chức năng và các chương trình Linux khác để sử dụng thư viện LIBC giống như của riêng mình. Điều này đặt các rootkit ở một vị trí trung gian, có khả năng thay đổi hiệu suất các cuộc gọi hệ thống được thực hiện bởi các chương trình khác. Rootkit cũng tạo ra một tài khoản Linux ẩn mà có thể được truy cập thông qua bất kỳ phương pháp xác thực nào được hỗ trợ bởi Linux, bao gồm cả SSH (Secure Shell). Tài khoản này không xuất hiện trong các tập tin như /etc/passwd vì rootkit có thể thay đổi hiệu suất của tập tin khi đọc, các nhà nghiên cứu của Trend Micro cho biết.
Umbreon cũng có một thành phần backdoor gọi là Espeon, cũng đặt theo tên của một nhân vật Pokémon, có thể thiết lập ngược vào máy của hacker khi một gói tin TCP nhận được trên giao diện Ethernet được giám sát bởi một thiết bị bị ảnh hưởng. Điều này có nghĩa rằng hacker có thể kích hoạt tấn công từ xa bằng cách gửi một gói tin đặc biệt đến các thiết bị bị nhiễm độc qua Internet.
Rất khó để phát hiện Umbreon sử dụng các công cụ tiêu chuẩn Linux, bởi vì hầu hết chúng được viết bằng C và dựa vào LIBC, các nhà nghiên cứu của Trend Micro nói rằng: “Chỉ còn cách là phải phát triển một công cụ liệt kê các Rootkit Umbreon sử dụng các công cụ tiêu chuẩn Linux. Loại bỏ các rootkit từ một hệ thống bị nhiễm độc rất khó khăn, đặc biệt là đối với người dùng thiếu kinh nghiệm và càng cố gắng giải quyết thì chỉ làm cho hệ thống hư hỏng thêm.”
Hiện, hãng bảo mật này cho biết, đang cung cấp các chỉ số thỏa hiệp, các hướng dẫn gỡ bỏ và quy tắc phát hiện YARA đối với các chủng rootkit mới.
Phan Tuấn