Symbiote Linux zlonamjerni softver koji koristi sofisticirane tehnike za skrivanje i krađu vjerodajnica

Mnogi korisnici operativnih sistema zasnovanih na Linux često ima zabludu da "u Linuxu nema virusa" i čak navode veću sigurnost kako bi opravdali svoju ljubav prema odabranoj distribuciji i razlog za to je jasan, budući da je poznavanje “virusa” u Linuxu takoreći “tabu”...

I tokom godina, ovo se promijenilo., otkako su vijesti o otkrivanju zlonamjernog softvera u Linuxu sve češće počele zvučati o tome koliko oni postaju sofisticirani da mogu sakriti i prije svega zadržati svoje prisustvo u zaraženom sistemu.

A činjenica da se o ovome govori zato što prije nekoliko dana otkriven je jedan oblik zlonamjernog softvera a zanimljiva stvar je da inficira Linux sisteme i koristi sofisticirane tehnike za skrivanje i krađu akreditiva.

Osoblje koje je otkrilo ovaj malver je BlackBerry istraživači i kojega nazivaju "Symbiot", Ranije nije bio detektovan, deluje parazitski jer treba da inficira druge pokrenute procese da bi naneo štetu zaraženim mašinama.

Simbiot, prvi put otkriven u novembru 2021. je prvobitno napisan da cilja finansijski sektor u Latinskoj Americi. Nakon uspješne infekcije, Symbiote skriva sebe i bilo koji drugi korišteni zlonamjerni softver, što otežava otkrivanje infekcija.

Malware Ciljanje na Linux sisteme nije novo, ali prikrivene tehnike koje koristi Symbiote ga izdvajaju. Povezivač učitava zlonamjerni softver putem LD_PRELOAD direktive, dopuštajući mu da se učita prije svih drugih zajedničkih objekata. Pošto se prvo učitava, može "oteti uvoz" drugih datoteka biblioteke učitanih za aplikaciju. Symbiote koristi ovo da sakrije svoje prisustvo na mašini.

„Pošto malver radi kao rootkit na nivou korisnika, otkrivanje infekcije može biti teško“, zaključuju istraživači. "Mrežna telemetrija se može koristiti za otkrivanje anomalnih DNS zahtjeva, a sigurnosni alati kao što su antivirusni programi i detekcija i odgovor krajnjih tačaka moraju biti statički povezani kako bi se osiguralo da nisu 'inficirani' korisničkim rootkitovima."

Jednom kada se Symbiote zarazi svi pokrenuti procesi, pruža napadačku funkcionalnost rootkita sa mogućnošću prikupljanja akreditiva i mogućnost daljinskog pristupa.

Zanimljiv tehnički aspekt Symbiotea je njegova funkcija odabira Berkeley paketnog filtera (BPF). Symbiote nije prvi Linux zlonamjerni softver koji koristi BPF. Na primjer, napredni backdoor pripisan grupi Equation koristio je BPF za tajnu komunikaciju. Međutim, Symbiote koristi BPF da sakrije zlonamjerni mrežni promet na zaraženoj mašini.

Kada administrator pokrene alatku za hvatanje paketa na zaraženoj mašini, BPF bajt kod se ubrizgava u kernel koji definiše pakete koje treba uhvatiti. U ovom procesu Symbiote prvo dodaje svoj bajt kod kako bi mogao filtrirati mrežni promet koji ne želite da vidi softver za hvatanje paketa.

Symbiote također može sakriti vašu mrežnu aktivnost koristeći različite tehnike. Ova maska ​​je savršena za omogućavanje zlonamjernom softveru da dobije vjerodajnice i omogući daljinski pristup akteru prijetnje.

Istraživači objašnjavaju zašto ga je tako teško otkriti:

Jednom kada malver zarazi mašinu, on se sakriva, zajedno sa svim drugim zlonamernim softverom koji koristi napadač, što otežava otkrivanje infekcija. Forenzičko skeniranje zaražene mašine uživo možda neće otkriti ništa, jer zlonamjerni softver skriva sve datoteke, procese i mrežne artefakte. Pored mogućnosti rootkita, zlonamjerni softver pruža backdoor koji omogućava akteru prijetnje da se prijavi kao bilo koji korisnik na mašini sa tvrdo kodiranom lozinkom i izvrši komande sa najvišim privilegijama.

Budući da je izuzetno neuhvatljiva, infekcija simbiotima će vjerovatno "letjeti ispod radara". Kroz našu istragu, nismo pronašli dovoljno dokaza da utvrdimo da li se Symbiote koristi u visoko ciljanim napadima ili napadima velikih razmjera.

Konačno ako ste zainteresirani da saznate više o tome, detalje možete provjeriti u sljedeći link.