Selon Synacktiv (analyse CSIRT), LinkPro a été découvert lors d’une investigation d’une compromission d’infrastructures AWS. L’étude fournit une analyse technique détaillée d’un rootkit eBPF sophistiqué ciblant Linux, ses vecteurs d’infection, ses modules, ses capacités C2, ainsi que des IOCs et des règles YARA.
• Chaîne d’attaque et contexte: exploitation de Jenkins CVE-2024-23897 entraînant le déploiement d’images Docker malveillantes à travers des clusters EKS (Kubernetes sur AWS).
• Composants: malware en Golang embarquant quatre modules ELF: une bibliothèque partagée (libld.so), un module noyau (arp_diag.ko), et deux programmes eBPF dédiés à la dissimulation et à l’activation réseau.
• Furtivité et activation: le module « Hide » s’appuie sur des programmes eBPF tracepoint/kretprobe pour accrocher les appels à getdents et sys_bpf afin de cacher processus/fichiers/réseau, nécessitant la configuration noyau CONFIG_BPF_KPROBE_OVERRIDE. Le module « Knock » déploie des programmes XDP (ingress) et TC (egress) pour détecter un paquet magique (TCP SYN avec fenêtre 54321) activant un C2 passif et procédant à de la redirection de port. En repli, le malware use de /etc/ld.so.preload pour accrocher des fonctions libc.
• Capacités C2 et persistance: support des protocoles HTTP/WebSocket/UDP/TCP/DNS, shells interactifs, opérations fichiers et proxy SOCKS5. Persistance via un service systemd-resolveld usurpé avec timestomping. 🐧
• IOCs et TTPs: l’analyse indique la présence d’IOCs et de règles YARA (détails dans la publication). TTPs notables:
- Exploitation de Jenkins CVE-2024-23897 pour l’accès initial.
- Propagation via images Docker sur EKS.
- Rootkit eBPF (tracepoint/kretprobe) pour masquer fichiers/processus/sockets.
- XDP/TC pour paquet magique (TCP SYN, window=54321) et port knocking/redirection.
- LD_PRELOAD (/etc/ld.so.preload) comme mécanisme furtif alternatif.
- Mascarade systemd (systemd-resolveld) et timestomping pour la persistance.
Type d’article: analyse de menace technique visant à documenter le fonctionnement, les vecteurs et les artefacts de détection du rootkit LinkPro.
🧠 TTPs et IOCs détectés
TTPs
[“Exploitation de Jenkins CVE-2024-23897 pour l’accès initial”, ‘Propagation via images Docker sur EKS’, ‘Rootkit eBPF (tracepoint/kretprobe) pour masquer fichiers/processus/sockets’, ‘XDP/TC pour paquet magique (TCP SYN, window=54321) et port knocking/redirection’, ‘LD_PRELOAD (/etc/ld.so.preload) comme mécanisme furtif alternatif’, ‘Mascarade systemd (systemd-resolveld) et timestomping pour la persistance’]
IOCs
[“Détails des IOCs non fournis dans l’extrait, se référer à la publication pour les hash, domaines, et IP spécifiques”]
🔗 Source originale : https://www.synacktiv.com/en/publications/linkpro-ebpf-rootkit-analysis.html