新的Syslogk Linux Rootkit允许攻击者使用“魔法包”远程命令它

一个名为系统日志已在野外发现，正在开发中，并隐藏恶意负载，对手可以使用魔法网络流量包远程控制该负载。

Avast安全研究人员DavidÁlvarez和Jan Neduchal在周一发布的一份报告中表示：“Syslogk rootkit在很大程度上基于Adore Ng，但结合了新的功能，使得用户模式应用程序和内核rootkit难以检测。”。

Adore Ng是自2004年推出的开源rootkit，它使攻击者能够完全控制受损系统。它还便于隐藏进程以及自定义恶意工件、文件，甚至内核模块，使其更难检测。

“模块首先将自身连接到各种文件系统中。它为根文件系统安全挖掘inode，并用自己的一个函数指针替换该inode的readdir（）函数指针，”LWN。当时记录的净值。Adore版本的性能与它替换的版本相似，只是它隐藏了特定用户和组ID拥有的任何文件

除了对netstat等实用程序隐藏网络流量的功能外，rootkit中还有一个名为“PgSD93ql”的有效负载，它只是一个名为Rekoobe的基于C的编译后门特洛伊木马，在收到魔法包时会触发。

研究人员说：“Rekoobe是植入合法服务器的一段代码。”。在这种情况下，它被嵌入到一个假的SMTP服务器中，当它收到一个精心编制的命令时，会生成一个shell

具体而言，Syslogk旨在检查包含源端口号59318的TCP数据包，以启动Rekoobe恶意软件。另一方面，停止有效负载需要TCP数据包满足以下标准-

• TCP标头的保留字段设置为0x08
• 源端口介于63400和63411之间（包括63400和63411）
• 目标端口和源地址与发送magic数据包启动Rekoobe时使用的相同，并且
• 包含一个键（“D9sd87JMaij”），该键在rootkit中硬编码，位于magic数据包的可变偏移量中

就其自身而言，Rekoobe伪装成一个看似无害的SMTP服务器，但实际上是基于一个名为Tiny SHell的开源项目，并悄悄地加入了一个后门命令，用于生成一个SHell，从而可以执行任意命令。

Syslogk增加了新发现的规避Linux恶意软件（如BPFDoor和Symbiote）的数量，突显出网络犯罪分子越来越多地以Linux服务器和云基础设施为目标，发起勒索软件活动、加密劫持攻击和其他非法活动。

研究人员说：“rootkit是危险的恶意软件。”。“内核rootkit可能很难检测和删除，因为这些恶意软件运行在特权层。”