Des chercheurs de Gen Threat Labs ont identifié un nouveau rootkit sophistiqué, Snapekit, qui cible les systèmes Arch. Linux Version 6.10.2-arch1-1 sur l'architecture x86_64. Snapekit permet aux attaquants d'obtenir un accès non autorisé au système et d'en prendre le contrôle tout en restant indétectés.
Un rootkit s'infiltre dans le système d'exploitation, interceptant et modifiant 21 appels système, le mécanisme de communication entre les applications et le noyau du système d'exploitation. Snapekit utilise un compte-gouttes spécial pour le déploiement. Le rootkit est capable de reconnaître et d'éviter les outils d'analyse et de débogage populaires tels que Cuckoo Sandbox, JoeSandbox, Hybrid-Analysis, Frida, Ghidra et IDA Pro. Lorsqu'un des outils est détecté, Snapekit modifie son comportement pour éviter la détection.
L'objectif principal de Snapekit est de masquer le code malveillant en restant dans l'espace utilisateur plutôt que dans l'espace plus contrôlé du noyau. Cette approche complique considérablement la détection et l’analyse des menaces. De plus, le rootkit utilise les mécanismes de protection PTrace pour détecter les tentatives de débogage, ce qui ajoute à la complexité pour les analystes et les spécialistes de la sécurité de l'information.
Snapekit dispose d'outils d'évasion multicouches qui vous permettent d'éviter non seulement les outils d'analyse automatisés (bacs à sable et machines virtuelles), mais compliquent également l'analyse manuelle. Le créateur du rootkit, connu sous le pseudonyme de Humzak711, prévoit de publier prochainement le projet Snapekit en open source sur GitHub.
Source: linux.org.ru
