Sicherheitsforscher haben eine neue Familie von Linux-Rootkits identifiziert, die trotz des Benutzermodus schwer zu erkennen und zu entfernen sind. Umbreon, nach einem Pokémon-Charakter, der sich in der Dunkelheit versteckt, ist das Rootkit seit Anfang 2015 in der Entwicklung und wird nun auf den Untergrundmärkten verkauft. Es zielt auf Linux-basierte Systeme auf den Architekturen x86, x86-64 und ARM, einschließlich vieler eingebetteter Geräte wie Router.
Laut Malware-Forschern der Antiviren-Firma Trend Micro ist Umbreon ein sogenanntes Ring 3-Rootkit, d.h. es läuft im Benutzermodus und benötigt keine Kernel-Privilegien. Trotz dieser scheinbaren Einschränkung ist es durchaus in der Lage, sich zu verstecken und auf dem System zu bestehen.
Das Rootkit benutzt einen Trick, um die Standardfunktionen der C-Bibliothek (libc) zu entführen, ohne tatsächlich Kernelobjekte zu installieren. Libc bietet Systemaufruffunktionen, die andere Linux-Programme für wichtige Operationen wie das Lesen und Schreiben von Dateien, das Laichen von Prozessen oder das Senden von Netzwerkpaketen verwenden können.
Umbreon entführt diese Funktionen und zwingt andere Linux-Executables dazu, eine eigene libc-ähnliche Bibliothek zu verwenden. Dies versetzt das Rootkit in eine Man-in-the-Middle-Position, die in der Lage ist, Systemaufrufe anderer Programme zu modifizieren und deren Ausgabe zu verändern.
Das Rootkit erstellt auch ein verstecktes Linux-Konto, auf das über jede von Linux unterstützte Authentifizierungsmethode zugegriffen werden kann, einschließlich SSH (Secure Shell). Dieses Konto erscheint nicht in Dateien wie /etc/passwd, da das Rootkit die Ausgabe solcher Dateien beim Lesen ändern kann, sagten die Trend Micro Forscher in einem Blogbeitrag.
Umbreon hat auch eine Backdoor-Komponente namens Espeon, benannt nach einem anderen Pokémon-Zeichen, die eine umgekehrte Shell für die Maschine eines Angreifers einrichten kann, wenn ein TCP-Paket mit speziellen Feldwerten auf der überwachten Ethernet-Schnittstelle eines betroffenen Geräts empfangen wird. Das bedeutet, dass Angreifer entfernte Shells öffnen können, indem sie einfach ein speziell erstelltes Paket über das Internet an das infizierte Gerät senden.
Es ist schwer, Umbreon mit Standard-Linux-Tools zu erkennen, da die meisten von ihnen in C geschrieben sind und sich auf libc verlassen, dessen Ausgabe die Rootkit-Hijacks, so die Trend Micro Forscher. „Eine Möglichkeit ist, ein kleines Tool zu entwickeln, um den Inhalt des Umbreon-Rootkit-Ordners mit Hilfe von Linux-Kernel-Syscalls direkt aufzulisten.“
Das Entfernen des Rootkits von einem infizierten System kann auch schwierig sein, besonders für unerfahrene Benutzer, und Versuche, dies zu tun, könnten das System unbrauchbar machen, sagten die Forscher. Trend Micro lieferte Kompromissindikatoren in Form von Dateinamen und Hashes, manuellen Entfernungsanweisungen und YARA-Erkennungsregeln für das neue Rootkit.
Es scheint, dass das Rootkit für die manuelle Installation entwickelt wurde, was bedeutet, dass Angreifer es auf Systemen manuell installieren, nachdem sie diese durch andere Schwachstellen kompromittiert haben. Während viele Desktop-Linux-Systeme automatische Patches erhalten und in der Regel von Anwendern auf dem neuesten Stand gehalten werden, werden Embedded-Geräte wie Consumer-Router und IP-basierte Kameras nur selten aktualisiert.
Infolgedessen gibt es Hunderttausende von eingebetteten Geräten, die für bekannte Exploits anfällig sind und routinemäßig mit Malware infiziert sind. Erst letzte Woche blockierte die Web-Sicherheitsfirma Sucuri einen massiven DDoS-Angriff, der von zwei Botnets ausging, von denen eines aus infizierten CCTV-Kameras und eines aus entführten Heimroutern bestand.