العديد من المستخدمين من أنظمة التشغيل على أساس غالبًا ما يكون لدى Linux فكرة خاطئة مفادها أنه "لا توجد فيروسات في Linux" بل إنهم يستشهدون بقدر أكبر من الأمان لتبرير حبهم للتوزيع المختار وسبب هذا الفكر واضح ، لأن معرفة "فيروس" في لينكس هو "من المحرمات" ...
وعلى مر السنين ، تغير هذا.، منذ أن بدأت أخبار اكتشاف البرامج الضارة في Linux في الظهور أكثر وأكثر حول مدى تعقيدها لتكون قادرة على إخفاء وجودها في النظام المصاب ، وقبل كل شيء الحفاظ على وجودها في النظام المصاب.
وحقيقة الحديث عن هذا لأن قبل أيام قليلة تم اكتشاف نوع من البرامج الضارة والشيء المثير للاهتمام هو أنه يصيب أنظمة Linux ويستخدم تقنيات متطورة لإخفاء وسرقة بيانات الاعتماد.
الأفراد الذين اكتشفوا هذا البرنامج الضار هم باحثو بلاك بيري والذين يطلقون عليهم اسم "Symbiote" ، لم يكن من الممكن اكتشافه سابقًا ، فهو يعمل كطفيلي لأنه يحتاج إلى إصابة العمليات الجارية الأخرى لإلحاق الضرر بالآلات المصابة.
Symbiote ، تم اكتشافه لأول مرة في نوفمبر 2021 ، في البداية لاستهداف القطاع المالي في أمريكا اللاتينية. عند الإصابة بنجاح ، يخفي Symbiote نفسه وأي برامج ضارة أخرى منتشرة ، مما يجعل من الصعب اكتشاف العدوى.
البرامج الضارة إن استهداف أنظمة Linux ليس بالأمر الجديد ، ولكن التقنيات الخفية التي تستخدمها Symbiote تجعلها تبرز. يقوم الرابط بتحميل البرامج الضارة عبر توجيه LD_PRELOAD ، مما يسمح له بالتحميل قبل أي كائنات أخرى مشتركة. نظرًا لأنه يتم تحميله أولاً ، يمكنه "اختطاف الواردات" من ملفات المكتبة الأخرى التي تم تحميلها للتطبيق. يستخدم Symbiote هذا لإخفاء وجوده على الجهاز.
وخلص الباحثون إلى أنه "نظرًا لأن البرامج الضارة تعمل كجذر أساسي على مستوى المستخدم ، فقد يكون اكتشاف العدوى أمرًا صعبًا". "يمكن استخدام القياس عن بُعد للشبكة لاكتشاف طلبات DNS الشاذة ، ويجب ربط أدوات الأمان مثل مكافحة الفيروسات واكتشاف نقطة النهاية والاستجابة لها بشكل ثابت لضمان عدم" إصابة "المستخدم بالجذور الخفية."
بمجرد إصابة Symbiote جميع العمليات الجارية ، يوفر مهاجمة وظائف الجذور الخفية مع القدرة على حصاد بيانات الاعتماد والقدرة على الوصول عن بعد.
جانب تقني مثير للاهتمام من Symbiote هو وظيفة اختيار Berkeley Packet Filter (BPF). Symbiote ليس أول برنامج ضار على نظام Linux يستخدم BPF. على سبيل المثال ، استخدم باب خلفي متقدم منسوب إلى مجموعة المعادلات BPF للاتصالات السرية. ومع ذلك ، يستخدم Symbiote BPF لإخفاء حركة مرور الشبكة الضارة على جهاز مصاب.
عندما يبدأ المسؤول أداة التقاط الحزمة على الجهاز المصاب ، يتم حقن رمز BPF bytecode في النواة التي تحدد الحزم التي سيتم التقاطها. في هذه العملية ، يضيف Symbiote أولاً رمزه الثانوي بحيث يمكنه تصفية حركة مرور الشبكة التي لا تريد أن يراها برنامج التقاط الحزمة.
يمكن لـ Symbiote أيضًا إخفاء نشاط الشبكة الخاص بك باستخدام تقنيات مختلفة. يعتبر هذا الغطاء مثاليًا للسماح للبرامج الضارة بالحصول على بيانات اعتماد وتوفير وصول عن بُعد إلى ممثل التهديد.
يشرح الباحثون سبب صعوبة الكشف:
بمجرد أن تصيب البرامج الضارة الجهاز ، فإنها تخفي نفسها مع أي برامج ضارة أخرى يستخدمها المهاجم ، مما يجعل اكتشاف العدوى أمرًا صعبًا للغاية. قد لا يكشف الفحص الجنائي المباشر لجهاز مصاب عن أي شيء ، لأن البرنامج الضار يخفي جميع الملفات والعمليات وعناصر الشبكة. بالإضافة إلى إمكانية الجذور الخفية ، توفر البرامج الضارة بابًا خلفيًا يسمح لممثل التهديد بتسجيل الدخول كأي مستخدم على الجهاز بكلمة مرور مشفرة وتنفيذ الأوامر بأعلى الامتيازات.
نظرًا لأنه بعيد المنال للغاية ، فمن المرجح أن "تطير عدوى Symbiote تحت الرادار". من خلال تحقيقنا ، لم نعثر على أدلة كافية لتحديد ما إذا كان Symbiote يُستخدم في هجمات شديدة الاستهداف أو واسعة النطاق.
أخيرا إذا كنت مهتمًا بمعرفة المزيد عنها، يمكنك التحقق من التفاصيل في الرابط التالي.
كالعادة ، "تهديد" آخر لـ GNU / Linux أنهم لا يذكرون كيف يتم تثبيته لإصابة النظام المضيف
كالعادة ، "تهديد" آخر لـ GNU / Linux حيث لا يشرح المكتشفون كيفية إصابة النظام المضيف ببرامج ضارة
مرحبًا ، فيما يتعلق بما تقوله ، كل خطأ أو اكتشاف ثغرات لديه عملية إفصاح من لحظة الكشف عنها ، وإبلاغ المطور أو المشروع ، وتعطى فترة سماح لحلها ، ويتم الكشف عن الأخبار ، وأخيرًا ، إذا رغبت في ذلك ، يتم نشر xploit أو الطريقة التي توضح الفشل.