Erkennung des Syslogk Linux Rootkits: Neuartige Malware in freier Wildbahn
Inhaltsverzeichnis:
Ein neuer Kernel-Rootkit namens Syslogk gewinnt an Bedeutung und terrorisiert die Linux-Benutzer.
Es wird angenommen, dass die neuartige Rootkit-Malware auf einem anderen Linux-Rootkit namens Adore-Ng basiert – ein ladbares Modul, das verwendet wird, um den Linux-Betriebssystemkern zu infizieren. Während die Betreiber von Syslogk derzeit in seine Entwicklung investieren und die Funktionalität des neuen Rootkits erweitern, steigt die Zahl der betroffenen Geräte bereits stetig an.
Syslogk Linux Rootkit erkennen
The Sigma-Regel unten, veröffentlicht von unserem aufmerksamen Threat Bounty-Entwickler Kaan Yeniyol, ermöglicht die mühelose Erkennung der neuesten Angriffe, die den Syslogk-Rootkit einbeziehen:
Bedrohungsakteure nutzen Syslogk-Backdoor, um Linux-Maschinen anzugreifen (via file_event)
Die Regel ist abgestimmt mit dem MITRE ATT&CK®-Framework v.10, das die Taktik der Ausführung mit der Technik der Benutzerausführung (T1204; T1204.002) behandelt.
Registrieren Sie sich auf der SOC Prime-Plattform, um eine gründliche Bedrohungsanalyse und eine effiziente Detektionsoptimierung mit über 185.000 Erkennungsalgorithmen zu erreichen, die sich in jede branchenführende SIEM-, EDR- und XDR-Lösung integrieren lassen. Um die umfassende Bibliothek von Sigma-Regeln zuzugreifen, klicken Sie auf den Erkennen & Jagen Button unten. Nicht registrierte Benutzer können auch eine innovative SOC Prime-Lösung für die Bedrohungsjagd ausprobieren – die Cyber Threat Search Engine. Die Suchmaschine ist ein Rundum-Sorglos-Paket für umfassenden Kontext zu Cyber-Bedrohungen und relevante Sigma-Regeln, kostenlos verfügbar. Probieren Sie es aus, indem Sie den Bedrohungskontext erkunden Button drücken. Haben Sie eigene Erkennungsinhalte zum Teilen? Bewerben Sie sich für das Threat Bounty-Programm , um einen Beitrag zur kollaborativen Cyberabwehr zu leisten und wiederkehrende Belohnungen für Ihren Beitrag zu verdienen.
Erkennen & Jagen Bedrohungskontext erkunden
Beschreibung des Syslogk Linux Rootkits
Es gab kürzlich eine Reihe von Angriffen, die Linux-Systemebetreffen. Heute stehen Linux-Benutzer vor dem Aufkommen und der aktiven Entwicklung einer neuartigen, hoch-Verschleierungs-Rootkit-Malware namens Syslogk. Die Malware installiert sich als Kernel-Module im Linux-Betriebssystem. Gegner verwenden Syslogk, um ihre Spuren im infizierten System zu verbergen, unauffällig zu bleiben und manuellen Inspektionen zu entgehen. Darüber hinaus hat die neue Malware die Funktionalität, Nutzlasten aus der Ferne zu starten oder zu stoppen, was weit verbreitet genutzt wird, um ein C-basiertes kompiliertes Backdoor-Trojaner namens Rekoobe abzurufen, das durch von Gegnern organisierte „Magische Pakete“ aktiviert wird.
Die erste umfassende Analyse des Syslogk Linux Rootkits wurde von Sicherheitsforschern von Avastveröffentlicht. Die Experten wiesen darauf hin, dass die Aktivierung von Rekoobe zu solchen bösartigen Aktionen wie Datendiebstahl, Dateimanipulation und Kontenübernahme führen kann.
Profitieren Sie von der produktiven Zusammenarbeit mit der globalen Cybersicherheits-Community von über 23.000 SOC-Profis, indem Sie der SOC Prime-Plattformbeitreten. Verteidigen Sie sich gegen aufkommende Bedrohungen und erhöhen Sie die Effizienz Ihrer Bedrohungserkennung!
