JPEG картинка се оказва входният билет за руткит в Linux
Необичайна офанзива против Linux сървъри разкри ново равнище на маскиране на злотворен програмен продукт – и евентуално неговия AI генезис. Изследователите от AquaSec са документирали злотворен програмен продукт, наименуван Koske, който се крие в на пръв взор безобидни изображения на панди и употребява адаптивна логичност, която съгласно специалистите би могла да бъде генерирана от огромни езикови модели или автоматизирани системи.
Koske се разграничава по това, че работи непосредствено в оперативната памет, без да записва на диск, като употребява файлове във формат polyglot – конструкция, която разрешава еднакъв обект да бъде по едно и също време изображение и осъществим скрипт.
По-конкретно, зловредният код се слага в края на JPEG файлове, съдържащи фотоси на панди. Визуално те не се разграничават от елементарни фотоси, само че в случай че бъдат обработени от тълковник на команден ред, системата извършва вграден скрипт.
Проникването стартира с потребление на погрешно конфигурирани екземпляри на JupyterLab, налични в интернет. След като получи достъп, нападателят изтегля две такива изображения от известни хостинг уеб сайтове – OVH Images, Freeimage и Postimage. Във всяко от тях се крие обособен съставен елемент: първият е откъс на C, който се компилира непосредствено в паметта и работи като руткит. Вторият е шел скрипт, който обезпечава скрита работа и опазване на достъпа.
Компонентът на шела употребява вградените в Linux помощни стратегии, с цел да се започва и да се закрепи към системата. Той конфигурира систематичните услуги и cron дилемите на 30-минутни шпации, с цел да обезпечи устойчиво наново осъществяване. За да заобиколи мрежовите филтри и рестриктивните мерки на прокси сървърите, той пренаписва файла /etc/resolv.conf, блокира модификацията му посредством chattr +i, нулира разпоредбите на iptables, нулира променливите на прокси сървърите и извършва личен модул за избор на работещи прокси сървъри благодарение на curl, wget и TCP поръчки.
Компонентът Rootkit работи като уголемение, заредено посредством LD_PRELOAD. Той прихваща повикванията на readdir() и скрива избрани процеси и файлове, съдържащи основни низове като „ koske “ или „ hideproc “, и употребява спомагателен лист с идентификатори, съхранявани в /dev/shm/.hiddenpid. Този метод изключва откриването от множеството персонализирани помощни стратегии за наблюдаване.
След като откри устойчиво наличие, злонамереният програмен продукт изтегля криптомайнъри от GitHub. Преди да направи това, Koske ревизира хардуерните характерности на устройството: типа и мощността на процесора и видеокартата. Изборът се прави от набор под 18 разнообразни криптовалути – измежду тях са такива като Monero, Ravencoin, Zano, Nexa и Tari, известни със своята анонимност.
