Symbiote je linuxový malware, který používá sofistikované techniky ke skrytí a krádeži přihlašovacích údajů

Mnoho uživatelů operačních systémů založených Linux má často mylnou představu, že „v Linuxu nejsou žádné viry“ a dokonce uvádějí větší bezpečnost, aby ospravedlnili svou lásku ke zvolené distribuci, a důvod této myšlenky je jasný, protože vědět o „viru“ v Linuxu je takříkajíc „tabu“…

A v průběhu let se to změnilo., jelikož zprávy o detekcích malwaru v Linuxu začaly stále častěji znít o tom, jak sofistikovaně se dokážou ukrýt a především udržet svou přítomnost v infikovaném systému.

A skutečnost, že se o tom mluví, je proto před několika dny byla objevena forma malwaru a zajímavé je, že infikuje linuxové systémy a používá sofistikované techniky ke skrývání a krádeži přihlašovacích údajů.

Personál, který objevil tento malware, byl Výzkumníci z BlackBerry, které pojmenovali jako „Symbiote“, Dříve nedetekovatelný, působí paraziticky, protože potřebuje infikovat další běžící procesy, aby způsobil poškození infikovaných počítačů.

Symbiote, poprvé zjištěn v listopadu 2021, byl původně napsán s cílem zaměřit se na finanční sektor v Latinské Americe. Po úspěšné infekci se Symbiote skryje sám sebe a jakýkoli jiný nasazený malware, což ztěžuje detekci infekcí.

Malware zacílení na linuxové systémy není nic nového, ale díky tajným technikám, které Symbiote používá, vyniká. Linker načte malware prostřednictvím direktivy LD_PRELOAD, což mu umožní načíst se dříve než jakékoli jiné sdílené objekty. Protože se načte jako první, může „unést importy“ ostatních souborů knihovny načtených pro aplikaci. Symbiote toho využívá ke skrytí své přítomnosti na stroji.

„Vzhledem k tomu, že malware funguje jako rootkit na uživatelské úrovni, může být odhalení infekce obtížné,“ uzavírají vědci. "Síťovou telemetrii lze použít k detekci anomálních požadavků DNS a bezpečnostní nástroje, jako je antivirová detekce a detekce koncových bodů a reakce musí být staticky propojeny, aby bylo zajištěno, že nebudou "infikovány" uživatelskými rootkity."

Jakmile se Symbiote nakazí všechny běžící procesy, poskytuje funkci útočného rootkitu se schopností sklízet přihlašovací údaje a možnost vzdáleného přístupu.

Zajímavým technickým aspektem Symbiote je jeho funkce výběru Berkeley Packet Filter (BPF). Symbiote není první linuxový malware, který používá BPF. Například pokročilá zadní vrátka přiřazená skupině Equation používala BPF pro skrytou komunikaci. Symbiote však používá BPF ke skrytí škodlivého síťového provozu na infikovaném počítači.

Když administrátor na infikovaném počítači spustí nástroj pro zachycení paketů, do jádra se vloží bajtový kód BPF, který definuje pakety, které mají být zachyceny. V tomto procesu Symbiote nejprve přidá svůj bajtový kód, aby mohl filtrovat síťový provoz, který nechcete, aby software pro zachytávání paketů viděl.

Symbiote může také skrýt vaši síťovou aktivitu pomocí různých technik. Tento kryt je ideální pro umožnění malwaru získat přihlašovací údaje a poskytnout vzdálený přístup k aktérovi hrozby.

Vědci vysvětlují, proč je tak obtížné odhalit:

​​Jakmile malware infikoval počítač, skryje se spolu s jakýmkoli dalším malwarem používaným útočníkem, takže je velmi obtížné odhalit infekce. Živá forenzní kontrola infikovaného počítače nemusí nic odhalit, protože malware skrývá všechny soubory, procesy a síťové artefakty. Kromě schopnosti rootkit poskytuje malware zadní vrátka, která umožňuje aktérovi hrozby přihlásit se jako kterýkoli uživatel na počítači pomocí pevně zakódovaného hesla a provádět příkazy s nejvyššími oprávněními.

Vzhledem k tomu, že je extrémně nepolapitelný, infekce Symbiotem pravděpodobně „proletí pod radarem“. Během našeho vyšetřování jsme nenašli dostatek důkazů, abychom mohli určit, zda se Symbiote používá při vysoce cílených nebo rozsáhlých útocích.

Konečně pokud máte zájem o tom vědět více, můžete zkontrolovat podrobnosti v následující odkaz.