A equipe de Pesquisa em Ameaças Futuras (FTR) da Trend Micro detectou recentemente amostras de uma família de rootkit nomeada Umbreon, inspirada no Pokémon do mesmo nome.
O rootkit é capaz de infectar sistemas Linux que executam processadores ARM e Intel e é muito difícil de detectar na medida que tenta passar desapercebido dentro de um ambiente Linux.
Segundo a Trend Micro, a alusão ao Pokémon se deve a uma característica do Umbreon de se esconder na escuridão da noite, o que também lembra uma característica apropriada para um rootkit, no contexto de sua estratégia para não ser detectado. Além disso, o programa traz em sua tela de login do SSH uma representação do Umbreon dos desenhos animados, provando que seu criador era mesmo fã da série. A Trend Micro detectou o Umbreon como parte da família ELF_UMBREON e classificou-o como um ring 3.
De acordo com a Trend Micro, “os rootkits são ameaças persistentes com a proposta de serem difíceis de detectar/encontrar. O seu principal objetivo é se manter (e manter outras ameaças) desapercebidas e totalmente escondidas dos administradores, analistas, usuários e também de ferramentas de escaneamento, de investigação e do sistema. O rootkit pode também abrir uma backdoor para usar um servidor C&C e fornecer ao atacante formas de controlar e espionar a máquina afetada”.
A empresa em seu comunicado oficial também explicou o sistema de classificação adotado para Umbreon: “quanto menor for o nível (ring level) em que uma parte do código for executado, mais difícil detectar e mitigar a ameaça”. No caso do rootkit inspirado em Pokémon e classificado como ring 3, por exemplo, é possível “falsificar” funções de bibliotecas centrais que executam operações importantes em um sistema, tais como salvar/ler arquivos, criação de processos ou o envio de pacotes através da rede.
Durante a instalação, o Umbreon cria um usuário Linux válido que o atacante pode usar com uma backdoor no sistema afetado. Esta conta de usuário pode ser acessada por meio de qualquer método de autenticação suportado pelo PAM do Linux, incluindo o SSH. Esse usuário tem um GID (Group ID) especial que o rootkit confere para ver se o atacante está tentando acessar o sistema e assim liberar o acesso. Não é possível ver este usuário listado em arquivos como /etc/passwd por que as funções da libc são hookadas (falsificadas) pelo Umbreon.
A Trend Micro não aconselha que a remoção do malware seja feita pelo usuário: isso pode trazer um dano irreparável ao sistema e colocá-lo em um estado irrecuperável. Nesse caso, o aconselhável é contar com soluções específicas que colaborem especificamente para a remoção de rootkits em Linux.
Fonte: Código Fonte