悪意のあるモジュールは、カーネルバージョン2.6.32-5-amd64専用に作成されました。 これはSqueeze 64ビットのDebianバージョンで使用される最新のカーネルバージョンです。 実行可能ファイルのサイズは500 kBを超えていますが、これはデバッグ情報を使用してコンパイルされたためです。 モジュールはおそらく開発段階にあります。一部の機能は完全にはデバッグされていないか、おそらく完全には実装されていないようです。
悪意のあるプログラムは、/ etc / rc.localスクリプトに次の行を追加することにより、自動実行を提供します。
insmod /lib/modules/2.6.32-5-amd64/kernel/sound/module_init.ko
メモリにロードした後、ルートキットは次の2つの方法のいずれかを使用してカーネルシンボルを取得し、/。kallsyms_tmpファイルに書き込みます。
/bin/bash -c cat /proc/kallsyms > /.kallsyms_tmp
/bin/bash -c cat /boot/System.map-`uname -r` > /.kallsyms_tmp
次に、いくつかの関数とカーネル変数のメモリアドレスを抽出し、将来使用するためにメモリに保存します。
一時ファイルはすぐに削除されます。
rm /.kallsyms_tmp -f
悪意のあるプログラムを起動するスタートアップスクリプトのファイルと行を非表示にするために、ルートキットは、メモリ内のアドレスを独自の悪意のあるルートキット機能へのポインターでスプライシングまたは置換することにより、次のカーネル機能をインターセプトします。
vfs_readdir
vfs_read
filldir64
filldir
マルウェアは、独自のモジュールを隠すことに加えて、次のファイルとストリームを隠そうとします。
zzzzzz_command_http_inject_for_module_init
zzzzzz_write_command_in_file
module_init.ko
sysctl.conf
/usr/local/hide/first_hide_file/*
/ah34df94987sdfgDR6JH51J9a9rh191jq97811/*
backconnect_command_thread_name
new_backconnect_command_thread_name
read_command_http_inject_thread_name
write_startup_command_thread_name
write_se_linux_command_thread_name
get_http_inj_from_server_thread_name
フローティングフレーム(iFrame)を導入するための興味深いメカニズム:悪意のあるプログラムは、tcp_sendmsgシステム関数を置き換えます。tcp_sendmsgシステム関数は、TCPパケットの構築を担当し、独自の機能を備えています。 したがって、発信TCPパケットを直接変更することにより、悪意のあるフレームがHTTPトラフィックに埋め込まれます。
現在の埋め込みデータブロックを取得するために、悪意のあるプログラムは、認証に暗号化されたパスワードを使用して管理サーバー(C&C)に接続します。
マルウェアが使用するポートを介して管理サーバーに接続できませんでしたが、マルウェアサーバーはまだアクティブです。 また、UNIXライクなオペレーティングシステム用のその他のツール、特にログをクリーニングするためのツールも含まれています。
これまで、ほとんどのドライブバイ攻撃シナリオでは、単純なPHPスクリプトを使用して自動マルウェア挿入メカニズムが実装されていました。 しかし、この場合、はるかに複雑なメカニズムを扱っています-洗練されたインターセプトテクノロジーを使用するカーネルモードのルートキットコンポーネントを使用することで、実装プロセスを以前よりも透明(不可視)にし、レベルを下げることができます。 現在開発中のこのルートキットは、ドライブバイ攻撃を整理するための新しいアプローチを示しています。 間違いなく、将来的に他の同様の悪意のあるプログラムの出現が予想されます。
このルートキットの優れた詳細な分析は、最近CrowdStrikeブログに投稿されました 。
カスペルスキー製品はこのルートキットを次のように検出します
Rootkit.Linux.Snakso.a