Symbiote зловреден софтуер за Linux, който използва сложни техники за скриване и кражба на идентификационни данни

Darkcrizt

4 Minutos

Много от потребителите на операционни системи, базирани на Linux често има погрешно схващане, че "в Linux няма вируси" и дори цитират по-голяма сигурност, за да оправдаят любовта си към избраната дистрибуция и причината за мисълта е ясна, тъй като знанието за „вирус“ в Linux е така да се каже „табу“…

И през годините това се промени., тъй като новините за откриването на зловреден софтуер в Linux започнаха да звучат все по-често и по-често за това колко сложни стават те, за да могат да скрият и преди всичко да поддържат присъствието си в заразената система.

И фактът, че се говори за това, е защото преди няколко дни беше открита форма на зловреден софтуер и интересното е, че заразява Linux системи и използва сложни техники за скриване и кражба на идентификационни данни.

Персоналът, който е открил този зловреден софтуер, са били Изследователи на BlackBerry и които те наричат ​​"Симбиот", По-рано неоткриваем, той действа паразитно, тъй като трябва да зарази други работещи процеси, за да нанесе щети на заразените машини.

Симбиот, открит за първи път през ноември 2021 г., първоначално беше насочена към финансовия сектор в Латинска Америка. При успешна инфекция Symbiote скрива себе си и всеки друг внедрен злонамерен софтуер, което затруднява откриването на инфекции.

зловреден софтуер насочването към Linux системи не е ново, но скритите техники, използвани от Symbiote, го отличават. Линкерът зарежда зловредния софтуер чрез директивата LD_PRELOAD, което му позволява да се зареди преди всички други споделени обекти. Тъй като се зарежда първи, той може да „отнеме импортирането“ на другите библиотечни файлове, заредени за приложението. Symbiote използва това, за да скрие присъствието си на машината.

„Тъй като зловредният софтуер работи като руткит на ниво потребител, откриването на инфекция може да бъде трудно“, заключават изследователите. „Мрежовата телеметрия може да се използва за откриване на аномални DNS заявки и инструменти за сигурност, като антивирусни и крайни точки, откриване и отговор трябва да бъдат статично свързани, за да се гарантира, че не са „заразени“ от потребителски руткити.“

След като Symbiote е заразен всички работещи процеси, осигурява атакуваща функционалност на руткит с възможност за събиране на идентификационни данни и възможност за отдалечен достъп.

Интересен технически аспект на Symbiote е неговата функционалност за избор на пакетен филтър на Berkeley (BPF). Symbiote не е първият зловреден софтуер за Linux, който използва BPF. Например, усъвършенстван бекдор, приписван на групата Equation, използва BPF за тайни комуникации. Symbiote обаче използва BPF, за да скрие злонамерен мрежов трафик на заразена машина.

Когато администратор стартира инструмент за улавяне на пакети на заразената машина, BPF байткодът се инжектира в ядрото, което дефинира пакетите, които трябва да бъдат уловени. В този процес Symbiote първо добавя своя байткод, за да може да филтрира мрежовия трафик, който не искате да вижда софтуерът за улавяне на пакети.

Symbiote може също да скрие вашата мрежова активност, използвайки различни техники. Това покритие е идеално, за да позволи на зловреден софтуер да получи идентификационни данни и да осигури отдалечен достъп до заплахата.

Изследователите обясняват защо е толкова трудно да се открие:

След като зловредният софтуер е заразил машина, той се скрива, заедно с всеки друг злонамерен софтуер, използван от нападателя, което прави инфекциите много трудни за откриване. Съдебното сканиране на живо на заразена машина може да не разкрие нищо, тъй като зловредният софтуер крие всички файлове, процеси и мрежови артефакти. В допълнение към възможността за руткит, зловредният софтуер осигурява бекдор, който позволява на заплахата да влезе като всеки потребител на машината с твърдо кодирана парола и да изпълнява команди с най-високи привилегии.

Тъй като е изключително неуловим, инфекцията със симбиот вероятно ще „лети под радара“. Чрез нашето разследване не намерихме достатъчно доказателства, за да определим дали Symbiote се използва при силно насочени или широкомащабни атаки.

Накрая ако се интересувате да научите повече за това, можете да проверите подробностите в следваща връзка.


Оставете вашия коментар

Вашият имейл адрес няма да бъде публикуван. Задължителните полета са отбелязани с *

*

*

  1. Отговорен за данните: Мигел Анхел Гатон
  2. Предназначение на данните: Контрол на СПАМ, управление на коментари.
  3. Легитимация: Вашето съгласие
  4. Съобщаване на данните: Данните няма да бъдат съобщени на трети страни, освен по законово задължение.
  5. Съхранение на данни: База данни, хоствана от Occentus Networks (ЕС)
  6. Права: По всяко време можете да ограничите, възстановите и изтриете информацията си.

  1.   начинаещ каза той
    hace 2 година

    Както винаги, още една "заплаха" за GNU/Linux, че не казват как се инсталира, за да зарази хост системата

    Отговорете на начинаещ
  2.   начинаещ каза той
    hace 2 година

    Както винаги, друга „заплаха“ за GNU/Linux, при която откривателите не обясняват как хост системата е заразена със зловреден софтуер

    Отговорете на начинаещ
    1.    Darkcrist каза той
      hace 2 година

      Здравейте, по отношение на това, което казвате, всяко откриване на грешка или уязвимост има процес на разкриване от момента, в който е разкрит, разработчикът или проектът е информиран, дава се гратисен период за разрешаването му, новините се разкриват и накрая, ако желаете , xploit или методът, който демонстрира грешката, се публикува.

      Отговорете на Darkcrizt