Investigadores de seguridad identificaron una nueva familia de rootkits para Linux que, a pesar de funcionar en el modo de usuario, puede ser difícil de detectar y remover. El rootkit Umbreon funciona en modo usuario pero secuestra las llamadas de sistema libc.

Llamado a partir de un personaje de Pokémon que se esconde en la oscuridad, el rootkit ha estado en desarrollo desde principios del 2015 y ahora se vende en el mercado negro. Afecta sistemas basados en Linux en las arquitecturas x86, x86-64 y ARM, incluyendo dispositivos encamados, como conmutadores.

De acuerdo con los investigadores de malware de la firma de antivirus Trend Micro, Umbreon es considerado un rootkit de anillo-3, lo cual significa que funciona en modo usuario y no necesita privilegios del kernel. A pesar de esta limitación aparente, es capaz de esconderse y permanecer en el sistema.

El rootkit usa un truco para secuestrar las funciones de librería C estándar (libc) sin instalar ningún objeto kernel. Libc provee funciones de llamado al sistema que otros programas Linux pueden usar para operaciones importantes como leer y escribir archivos, engendrar procesos o enviar paquetes de información.

Umbreon secuestra estas funciones y fuerza a otros ejecutables de Linux a usar sus propias librerías del tipo libc. Esto sitúa al rootkit en una posición de hombre en el medio, capaz de modificar llamadas de sistema hechas por otros programas y alterar la salida.

El rootkit también crea una cuenta Linux escondida a la que se puede acceder por medio de cualquier método de autenticación permitida por Linux, incluyendo SSH (Secure Shell). Esta cuenta no aparece en los archivos como /etc/passwd porque el rootkit puede modificar la salida de esos archivos cuando los lee, según investigadores de Trend Micro.

Umbreon también tiene un componente de puerta trasera llamado Espeon, nombrado a partir de otro personaje Pokémon, que puede establecer un shell inverso a la máquina de un atacante cuando un paquete TCP con valores especiales de campo es recibido en la interface monitoreada de Ethernet de un dispositivo afectado. Esto significa que los atacantes pueden abrir un shell remoto al enviar un paquete especialmente diseñado al dispositivo infectado a través de Internet.

Es difícil detectar Umbreon usando herramientas estándar de Linux, porque la mayoría de ellos están escritos en C y confían en libc, cuya salida es secuestrada por el rootkit, dijeron los investigadores de Trend Micro. "Una manera es desarrollar una pequeña herramienta para enlistar el contenido del folder del rootkit Umbreon usando directamente llamadas al sistema en el kernel de Linux".