Umbreon : pas un Pokémon mais un rootkit Linux

Le par  |  7 commentaire(s)
Umbreon-pokemon

Avec pour thématique un Pokémon éponyme, le rootkit Umbreon cible les architectures x86, X86-64 et ARM de systèmes Linux.

Umbreon est le nom d'un Pokémon se cachant la nuit. C'est également le nom d'un nouveau rookit capable de cibler des systèmes Linux. Écrit en langage de programmation C à l'exception de quelques modules supplémentaires, Umbreon est un rootkit portable qui peut indifféremment s'accommoder d'architectures x86, x86-64 et ARM.

Il peut être utilisé pour prendre le contrôle d'un appareil ou serveur affecté, et l'Internet des Objets n'est donc pas à l'abri. Après avoir obtenu des échantillons de l'intrus auprès de l'un de ses partenaires, Trend Micro a pu analyser Umbreon dont le développement remonterait à début 2015.

Umbreon est installé manuellement par l'attaquant. C'est un rootkit dit user-mode qui n'est pas exécuté aux côtés de processus système de bas niveau mais d'autres applications exécutées en tant qu'utilisateur. Néanmoins, cela reste un rootkit considéré comme difficile à détecter.

Pendant l'installation, Umbreon crée un utilisateur Linux valide et caché que l'attaquant peut utiliser pour accéder à l'appareil cible dont via SSH. Ce compte utilisateur affiche un écran de bienvenue à l'effigie du pokémon Umbreon :

umbreon

Pour l'accès au système infecté, l'attaquant s'appuie également sur une backdoor basée sur la bibliothèque libpcap afin de capturer un trafic réseau. Cette backdoor a été baptisée Espeon… en référence à un autre Pokémon.

Umbreon agit comme une bibliothèque logicielle qui imite glibc avec des fonctions dont les noms correspondent à des fonctions existantes. Il peut détourner de telles fonctions et obliger des exécutables à utiliser sa propre bibliothèque, d'où son pouvoir de nuisance même sans des privilèges kernel. Cela lui permet également de se dissimuler efficacement face aux outils de protection usuels.

Comme Umbreon est un rootkit user-mode, sa suppression est possible. Trend Micro a mis au point des règles YARA - un outil qui détecte et classifie les malwares - permettant de détecter Umbreon. Elles peuvent être téléchargées ici.

Pour les plus expérimentés, un billet de blog détaille la procédure à suivre pour supprimer Umbreon en démarrant depuis un LiveCD Linux. Compte tenu de son mode d'infection, Umbreon ne doit pas être très courant.

Complément d'information

Vos commentaires

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Le #1921275
Comme les Pokémons, ça se multiplie les malwares sous Linux
Le #1921276
Ch'suis prêt !

Adresse Web :
https://postimg.org/image/ai7tl6qmh/


Le #1921285
Pour se retrouver avec ça installé sur une machine il faut donc soit :

1) laisser sa session ouverte sans surveillance.
2) avoir un mot de passe de merde, ou écrit sur un papier à côté, voire pire, sur l'ordi.
3) accepter une prise de contrôle à distance avec transfert de fichier.
4) bosser comme tech. et l'introduire volontairement.

En effet, peu de chance de récupérer ce truc sur une machine utilisateur. Un utilisateur Linux de son plein gré (pas un employé) n'est pas censé faire les deux premiers, n'a pas besoin du troisième, n'est pas concerné par le quatrième.


Le #1921303
Comment on peut créer un utilisateur sans droits admin ?
Le #1921349
Vikingfr a écrit :

Comment on peut créer un utilisateur sans droits admin ?


Dit comme ça on ne peut pas, aux dernières nouvelles. Après il y a des solutions de contournement ; chroot, lshell, bidouillage des droits de TOUS les fichiers systèmes + groupe à accès restreint, ect. Ça dépend du temps que l'on a, si on veut la jouer fine, ou autres .
Le #1921400
La grosse blague : "
...//..Umbreon est installé manuellement par l'attaquant..//..."

he oui mme michu faut pas laisser n'importe qui se servir du pc ....... et là y'a pléthore de possibilité.

c'est pas un malware c'est l'interface chaise/clavier qu'est à bannir
Le #1921495
On ne sait pas grand chose de cet éditeur d'anti virus au sujet de ces "partners" qui lui révèleraient des malwares ciblant GNU/Linux.
Je me demande si Trend Micro seraient pas les seuls à avoir rencontré ce drôle de pokemon. En tout cas, quand on cherche sur le net, on se rend compte que la seule trace qu'on trouve de ce pokemon c'est dans les news de cet éditeur d'anti virus qui nous sort tous les mois une bestiole qu'ils sont les seuls à avoir rencontré (inventé ?).
En ce qui concerne ce "pokemon" si je comprends bien il faut avoir la machine en main, avoir le mot de pass admin pour remplacer la glibc par une autre....
Des véroles comme ça tout le monde peut en pondre en 2mn, de là à en faire une menace et une news...
Savent plus quoi faire pour faire parler d'eux Trend Micro...En tout cas en 24h ils ont réussi leur coup, tous les magazines parlent d'eux et de ce pokemon.
Suivre les commentaires
Poster un commentaire
Anonyme
:) ;) :D ^^ 8) :| :lol: :p :-/ :o :w00t: :roll: :( :cry: :facepalm:
:andy: :annoyed: :bandit: :alien: :ninja: :agent: :doh: :@ :sick: :kiss: :love: :sleep: :whistle: =]