Cet article publié par Sandfly Security alerte sur une menace croissante pour les systèmes Linux : les rootkits de type LD_PRELOAD tels que Medusa. Ces rootkits interceptent les appels de bibliothèques dynamiques pour masquer des activités malveillantes, telles que des fichiers, processus et connexions réseau, aux commandes système standard.
Medusa fonctionne en utilisant des mécanismes LD_PRELOAD pour prioriser les bibliothèques malveillantes par rapport aux légitimes, affectant ainsi des commandes comme ls, ps et netstat. Pour détecter ces rootkits, il est recommandé d’utiliser des binaires statiques tels que BusyBox, qui ne dépendent pas des bibliothèques dynamiques et incluent tout le code nécessaire en interne, les rendant ainsi immunisés contre l’interception des bibliothèques.
Les équipes de sécurité doivent mettre en place des plateformes de sécurité automatisées pour identifier les activités de rootkits avant que les attaquants n’établissent une persistance. Les commandes clés pour la détection incluent busybox ash pour un accès shell et diverses utilitaires BusyBox pour l’analyse médico-légale.
Cet article s’inscrit dans la catégorie de l’analyse de menace, avec pour objectif principal de sensibiliser et de fournir des moyens de détection efficaces contre ces menaces spécifiques.
🧠 TTPs détectés
TTPs
T1055.001 - Process Injection: Dynamic-link Library Injection, T1014 - Rootkit, T1036.005 - Masquerading: Match Legitimate Name or Location
🔗 Source originale : https://sandflysecurity.com/blog/linux-medusa-rootkit-detection-and-de-cloaking