Syslogk リナックス ルートキット検出: 野外で使用される新しいマルウェア

Syslogkという新しいカーネルルートキットが注目を集めており、Linux OSのユーザーを脅かしています。

この新しいルートキットマルウェアは、Adore-Ngと呼ばれる別のLinuxルートキットに基づいていると考えられています。Adore-Ngは、Linux OSカーネルを感染させるためのロード可能なモジュールです。Syslogkのオペレーターは現在、その開発に投資し、新しいルートキットの機能を強化していますが、影響を受けているデバイスの数はすでに増加しています。

Syslogk Linuxルートキットの検出

The Sigmaルール 以下は、当社の優秀なThreat Bounty開発者 Kaan Yeniyolによってリリースされ、Syslogkルートキットに関与する最新の攻撃を簡単に検出することができます：

脅威アクターはSyslogkバックドアを使用してLinuxマシンをターゲットにしています（file_event経由）

このルールは MITRE ATT&CK®フレームワーク v.10.に整合しており、Execution戦術に対してUser Execution（T1204; T1204.002）技術を扱っています。

SOC Primeプラットフォームに登録して、185,000以上の検出アルゴリズムを使用して、あらゆる業界をリードするSIEM、EDR、XDRソリューションと統合された徹底的な脅威分析と効率的な検出オプションを達成してください。Sigmaルールの詳しいライブラリにアクセスするには、ibrary of Sigma rules, click the Detect & Hunt ボタンをクリックしてください。登録していないユーザーも、脅威ハンティングの革新的なSOC PrimeのソリューションであるCyber Threat Search Engineを試すことができます。このサーチエンジンは、サイバー脅威と関連するSigmaルールに関する詳細なコンテキストを提供するためのワンストップショップであり、無料で利用できます。以下の Explore Threat Context ボタンをクリックしてお試しください。独自の検出コンテンツを共有したいですか？協力的なサイバーディフェンスに貢献しながら、あなたの貢献に対する継続的な報酬を獲得するために Threat Bounty Program に応募してください。

Detect & Hunt Explore Threat Context

Syslogk Linuxルートキットの説明

最近、多数の攻撃が Linuxシステムに影響を与えています。今日、Linux OSのユーザーは、新しい高い回避性を持つルートキットマルウェアであるSyslogkの出現と積極的な開発に直面しています。このマルウェアは、Linux OSにカーネルモジュールとしてインストールされます。対戦相手はSyslogkを使用して、感染したシステム内での痕跡を隠し、ステルス状態を保ち、手動検査を回避します。また、この新しいマルウェアは、ペイロードをリモートで開始または停止する機能を持っており、Cベースでコンパイルされたバックドアトロイの木馬であるRekoobeを取得するために広く使用されています。これは、対戦相手によって編成された「マジックパケット」によって活性化されます。

Syslogk Linuxルートキットの最初の包括的な分析は、 Avastのセキュリティ研究者によって発表されました。専門家は、Rekoobeの活性化がデータ窃盗、ファイル操作、アカウント乗っ取りなどの悪意のある行動を引き起こす可能性があると指摘しました。

23,000以上のSOCプロフェッショナルの世界的なサイバーセキュリティコミュニティと積極的にコラボレーションを行い、 SOC Primeのプラットフォームに参加して、発展した脅威に対抗し、脅威検出能力の効率を高めましょう！