En ny rootkit vid namn LinkPro har riktat in sig på GNU/Linux-system och använder eBPF-teknik för att dölja skadliga aktiviteter och undvika upptäckt. Den upptäcktes i en komprometterad AWS-infrastruktur och sprids via sårbara Jenkins-servrar och skadliga Docker-bilder. Malware ger angripare fjärråtkomst samtidigt som den utger sig för att vara legitima systemkomponenter.
LinkPro-rootkitet dök upp som ett sofistikerat hot mot GNU/Linux-system och utnyttjar utökade Berkeley Packet Filter (eBPF)-moduler för att dölja processer, filer och nätverksaktiviteter. Forskare från SynAcktiv upptäckte det under en forensisk undersökning av en intrången AWS-värd miljö, där det fungerade som en bakdörr som kunde aktiveras på distans via specifika TCP-magic-paket.
Infektionen börjar vanligtvis med en exponerad Jenkins-server som är sårbar för CVE-2024-23897. Angripare distribuerar sedan en skadlig Docker-bild vid namn kvlnt/vv över Amazon EKS Kubernetes-kluster. Denna bild inkluderar en VPN-proxy, vGet-downloader-malwaren och själva LinkPro-rootkitet. Containern körs med root-privilegier, vilket ger full åtkomst till filsystemet och möjliggör escapes för att skörda autentiseringsuppgifter från andra poddar.
Utveckad i Golang fungerar LinkPro i två lägen: ett passivt omvänt läge som lyssnar efter kommandon efter att ha upptäckt ett TCP SYN-paket med fönsterstorlek 54321, och ett aktivt framåt-läge för direkta kommandon-och-kontroll-länkar. Dess smygighet bygger på två eBPF-moduler – Hide-modulen avlyssnar systemanrop som getdents och sys_bpf för att dölja filer, processer och eBPF-program, medan Knock-modulen använder XDP och TC för nätverksmanipulation, omdirigerar trafik till en intern port 2233 och skriver om header för att kringgå brandväggar.
För persistens utger sig LinkPro för att vara systemd-resolved-tjänsten och skapar en falsk enhetsfil i /etc/systemd/system/systemd-resolved.service samt placerar sin binär i /usr/lib/.system/.tmp~data.resolved med ändrade tidsstämplar. Om kernel-stöd för CONFIG_BPF_KPROBE_OVERRIDE saknas faller det tillbaka på att kapa den dynamiska länkaren via /etc/ld.so.preload.
När det är aktivt erbjuder det interaktiva skal, filhantering, SOCKS5-proxy och Base64-kodad fil-exfiltrering över protokoll som HTTP, WebSocket, TCP, UDP och DNS, allt krypterat med XOR. Organisationer rekommenderas att övervaka misstänkta systemd-filer och eBPF-aktivitet för upptäckt.