Symbiote un codi maliciós a Linux que utilitza tècniques sofisticades per ocultar-se i robar credencials

Darkcrizt

4 minuts

Molts dels usuaris dels sistemes operatius basats en Linux sovint solen tenir una errònia idea que «a Linux no hi ha virus» i fins i tot citen més seguretat per justificar el seu amor per la distribució triada i és clar el perquè del pensament, ja que el saber d'algun «virus» en linux és per així anomenar-lo un «tabú»…

I amb els darrers anys, això ha canviat, ja que les notícies de deteccions de codi maliciós a Linux han començat a sonar més sovint i més sobre el sofisticats que arriben a ser per poder ocultar-se i sobretot mantenir la seva presència en el sistema infectat.

I és que el fet de parlar d'això, és perquè fa pocs dies una forma de codi maliciós va ser descoberta i el que és interessant és que infecta els sistemes Linux i que utilitza tècniques sofisticades per ocultar i robar credencials.

El personal que va descobrir aquest codi maliciós van ser els investigadors de BlackBerry i al qual nomenen com a «Symbiote», anteriorment indetectable, actua de forma parasitària, ja que necessita infectar altres processos en execució per infligir danys a les màquines infectades.

Symbiote, detectat per primera vegada al novembre de 2021, es va escriure inicialment per apuntar al sector financer a Amèrica Llatina. Després d'una infecció reeixida, Symbiote s'amaga a si mateix ia qualsevol altre programari maliciós implementat, cosa que dificulta la detecció d'infeccions.

el malware dirigit a sistemes Linux no és nou, però les tècniques sigil·loses utilitzades per Symbiote ho fan destacar. L'enllaçador carrega el codi maliciós a través de la directiva LD_PRELOAD, la qual cosa permet que es carregui abans que qualsevol altre objecte compartit. Com que es carrega primer, podeu «segrestar les importacions» dels altres fitxers de la biblioteca carregats per a l'aplicació. Symbiote utilitza això per amagar la seva presència a la màquina.

"Com que el codi maliciós funciona com un rootkit a nivell d'usuari, detectar una infecció pot ser difícil", conclouen els investigadors. "La telemetria de xarxa es pot utilitzar per detectar sol·licituds de DNS anòmales i les eines de seguretat, com ara antivirus i detecció i resposta de punts finals, s'han de vincular estàticament per garantir que no estiguin 'infectats' per rootkits d'usuari".

Quan Symbiote ha infectat tots els processos en execució, lliura la funció de rootkit atacant amb la capacitat de recol·lectar credencials i capacitat daccés remot.

Un aspecte tècnic interessant de Symbiote és la seva funcionalitat de selecció de Berkeley Packet Filter (BPF). Symbiote no és el primer codi maliciós de Linux que utilitza BPF. Per exemple, una porta del darrere avançada atribuïda al grup Equation va utilitzar el BPF per a comunicacions encobertes. No obstant això, Symbiote utilitza BPF per amagar el trànsit de xarxa maliciós en una màquina infectada.

Quan un administrador inicia una eina de captura de paquets a la màquina infectada, el codi de bytes BPF s'injecta al nucli que defineix els paquets que es capturaran. En aquest procés, Symbiote afegeix primer el seu codi de bytes per poder filtrar el trànsit de xarxa que no voleu veure el programari de captura de paquets.

Symbiote també pot amagar la seva activitat a la xarxa utilitzant diverses tècniques. Aquesta cobertura és perfecta per permetre que el codi maliciós (malware) obtingui credencials i brinde accés remot a l'actor d'amenaces.

Els investigadors expliquen per què és tan difícil de detectar:

Un cop el malware ha infectat una màquina, s'amaga, juntament amb qualsevol altre malware utilitzat per l'atacant, cosa que fa que les infeccions siguin molt difícils de detectar. És possible que una anàlisi forense en viu d'una màquina infectada no reveli res, ja que el codi maliciós oculta tots els arxius, processos i artefactes de la xarxa. A més de la capacitat de rootkit, el codi maliciós proporciona una porta del darrere que permet que l'actor d'amenaces iniciï sessió com qualsevol usuari a la màquina amb una contrasenya codificada i executi ordres amb els privilegis més alts.

Atès que és extremadament evasiu, és probable que una infecció de Symbiote «vol per sota del radar». A través de la nostra investigació, no trobem prou evidència per determinar si Symbiote es fa servir en atacs altament dirigits oa gran escala.

Finalment si estàs interessat en poder conèixer més a l'respecte, Pots consultar els detalls al següent enllaç.


Deixa el teu comentari

La seva adreça de correu electrònic no es publicarà. Els camps obligatoris estan marcats amb *

*

*

  1. Responsable de les dades: Miguel Ángel Gatón
  2. Finalitat de les dades: Controlar l'SPAM, gestió de comentaris.
  3. Legitimació: El teu consentiment
  4. Comunicació de les dades: No es comunicaran les dades a tercers excepte per obligació legal.
  5. Emmagatzematge de les dades: Base de dades allotjada en Occentus Networks (UE)
  6. Drets: En qualsevol moment pots limitar, recuperar i esborrar la teva informació.

  1.   novell va dir
    fa 2 anys

    Com passa sempre, una altra «amenaça» per a GNU/Linux de la qual no diuen com arriba a instal·lar-se per infectar el sistema amfitrió

    Respondre a newbie
  2.   novell va dir
    fa 2 anys

    Com sempre, una altra «amenaça» GNU/Linux on els descobridors no expliquen com s'arriba a infectar amb el codi maliciós el sistema amfitrió

    Respondre a newbie
    1.    Darkcrizt va dir
      fa 2 anys

      Hola, pel que fa al que comenten, tot descobriment de fallada o vulnerabilitat té un procés de divulgació des que es dóna a conèixer, s'informa al desenvolupador o projecte, es dóna un temps de gràcia perquè sigui solucionat, es dóna a conèixer la notícia i finalment si es desitja es publica el xploit o mètode que demostra la decisió.

      Respondre a Darkcrizt