Umbreon, Pokémon légendaire mais aussi dangereux rootkit

Umbreon rootkit

Pokémon est actuellement en vogue. Avec la nouvelle génération qui se profile à l'horizon et le succès planétaire de Pokémon Go, les fans sont de sortie. Umbreon est un nom bien connu. C'est un mignon Pokémon légendaire... et depuis peu un dangereux rootkit qui s'attaque aux systèmes Linux x86 et ARM.

Le développement de cette méchante bête remonte à 2015. Celle-ci s’installe manuellement sur une machine quelconque – à distance via une faille par exemple – et est actuellement « très dur à détecter« .

Ce « rootkit à trois cercles« , comme l’explique Trend Micro, n’installe aucun composant noyau supplémentaire, il prend la place des fonctions propres à la librairie C (libc). Une fois en place, Umbreon peut forcer les exécutables à utiliser ses propres fonctions. Le rootkit crée aussi un compte Linux invisible et accessible par n’importe quelle méthode d’authentification utilisée (comme SSH).

Pire encore, Umbreon installe aussi une backdoor, Espeon, laquelle « peut être chargée d’établir une connexion à une machine de l’attaquant, fonctionnant comme un shell inversé pour contourner les pare-feux« .

C’est sa similitude avec libc qui empêche les outils traditionnels de détecter Umbreon : « parce qu’Umbreon remplace les fonctions de libc, la création d’un outil fiable pour le Umbreon nécessiterait un outil qui n’utilise pas libc« .

Les distributions Linux devraient rapidement être mises à jour par la communauté. Mais tous les systèmes embarqués en place ici et là seront assurément une cible de choix.

Tags :Via :Silicon
  1. Je doute que le lectorat ou les rédacteurs sachent vraiment ce qu’est un rootkit, un hook, ROP ou la table SYSCALL ou équivalent sous l’OS de votre choix. Et puis de toute façon en terme de rootkit le premier entré a toujours l’avantage sur les suivants, car il peut modifier l’OS à un tel point qu’il peut se rendre indétectable

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Publicité