根据 BleepingComputer 的报道,艾维斯特Avast的安全研究人员发现,Syslogk 利用魔法数据包隐藏本身的活动。此恶意软件不仅可以强制加载 3x 版本的 Linux 内核模块,还能够隐藏网络流量、目录信息,并加载 Rekoobe 后门。
免费加速器安卓版
当收到魔法数据包时,如果满足某些条件,如特定的 “Reserved” 字段值、匹配的 “Destination Port” 和 “Source Address”,以及硬编码的密钥,Syslogk 会启动 Rekoobe 后门。该后门允许攻击者远程获取 Shell。研究人员警告道:“这个后门在某种程度上非常隐蔽;只有在发送特定的魔法数据包后,它才会被加载。当查询时,它似乎是一个隐藏在内存和硬盘中的合法服务,远程执行并在网络上隐藏。即便在网络端口扫描中被发现,它仍然看起来像一个合法的 SMTP 服务器。”
以下是关于 Syslogk 的一些关键点:
特性描述隐蔽性通过魔法数据包触发,难以被发觉模块加载强制加载 Linux 3x 内核模块网络活动可隐蔽网络流量与目录信息后门功能激活 Rekoobe 后门,提供攻击者远程 Shell 访问相关链接: BleepingComputer 关于 Syslogk 的文章 SC World 关于 Syslogk 的新闻
总的来说,Syslogk 的出现意味着攻击者拥有了更为隐蔽且强大的工具,用户与企业需保持警惕,加强安全防护和检测机制,以抵御潜在的网络攻击。
留言框-
