Mange af brugerne af operativsystemer baseret på Linux har ofte en misforståelse om, at "i Linux er der ingen vira" og de citerer endda større sikkerhed for at retfærdiggøre deres kærlighed til den valgte distribution, og årsagen til tanken er klar, eftersom at kende til en "virus" i Linux så at sige er et "tabu"...
Og gennem årene har dette ændret sig., siden nyhederne om malware-detektion i Linux er begyndt at lyde oftere og mere om, hvor sofistikerede de bliver til at kunne skjule og frem for alt bevare deres tilstedeværelse i det inficerede system.
Og det faktum at tale om dette er fordi for et par dage siden blev der opdaget en form for malware og det interessante er, at det inficerer Linux-systemer og bruger sofistikerede teknikker til at skjule og stjæle legitimationsoplysninger.
Det personale, der opdagede denne malware, var BlackBerry-forskere, og som de kalder "Symbiote", Tidligere uopdagelig virker den parasitisk, da den skal inficere andre kørende processer for at påføre skade på inficerede maskiner.
Symbiote, første gang opdaget i november 2021, blev oprindeligt skrevet for at målrette den finansielle sektor i Latinamerika. Ved en vellykket infektion skjuler Symbiote sig selv og enhver anden installeret malware, hvilket gør det vanskeligt at opdage infektioner.
malware at målrette mod Linux-systemer er ikke nyt, men de snigende teknikker, der bruges af Symbiote, får det til at skille sig ud. Linkeren indlæser malwaren via LD_PRELOAD-direktivet, så den kan indlæses før andre delte objekter. Da det indlæses først, kan det "kapre importen" af de andre biblioteksfiler, der er indlæst til applikationen. Symbiote bruger dette til at skjule sin tilstedeværelse på maskinen.
"Da malwaren fungerer som et rootkit på brugerniveau, kan det være svært at opdage en infektion," konkluderer forskerne. "Netværkstelemetri kan bruges til at opdage unormale DNS-anmodninger, og sikkerhedsværktøjer såsom antivirus og slutpunktsdetektion og -svar skal være statisk forbundet for at sikre, at de ikke er 'inficeret' af brugerens rootkits."
Når Symbiote har inficeret alle kørende processer, giver angribende rootkit-funktionalitet med mulighed for at høste legitimationsoplysninger og mulighed for fjernadgang.
Et interessant teknisk aspekt ved Symbiote er dens Berkeley Packet Filter (BPF) valgfunktionalitet. Symbiote er ikke den første Linux-malware, der bruger BPF. For eksempel brugte en avanceret bagdør tilskrevet Ligningsgruppen BPF til skjult kommunikation. Symbiote bruger dog BPF til at skjule ondsindet netværkstrafik på en inficeret maskine.
Når en administrator starter et pakkeopsamlingsværktøj på den inficerede maskine, injiceres BPF-bytekode i kernen, der definerer de pakker, der skal fanges. I denne proces tilføjer Symbiote først sin bytekode, så den kan filtrere netværkstrafik, som du ikke ønsker, at pakkefangstsoftware skal se.
Symbiote kan også skjule din netværksaktivitet ved hjælp af forskellige teknikker. Dette cover er perfekt til at tillade malware at få legitimationsoplysninger og give fjernadgang til trusselsaktøren.
Forskerne forklarer, hvorfor det er så svært at opdage:
Når først malware har inficeret en maskine, skjuler den sig selv sammen med enhver anden malware, der bruges af angriberen, hvilket gør infektioner meget vanskelige at opdage. En live retsmedicinsk scanning af en inficeret maskine afslører muligvis ikke noget, da malwaren skjuler alle filer, processer og netværksartefakter. Ud over rootkit-kapaciteten giver malwaren en bagdør, der gør det muligt for trusselsaktøren at logge ind som enhver bruger på maskinen med en hårdkodet adgangskode og udføre kommandoer med de højeste privilegier.
Da det er ekstremt uhåndgribeligt, vil en Symbiote-infektion sandsynligvis "flyve under radaren." Gennem vores undersøgelse fandt vi ikke nok beviser til at afgøre, om Symbiote bruges i meget målrettede eller storstilede angreb.
Endelig hvis du er interesseret i at vide mere om det, kan du kontrollere detaljerne i følgende link.
Som altid, endnu en "trussel" for GNU/Linux, at de ikke siger, hvordan det bliver installeret for at inficere værtssystemet
Som altid, endnu en "trussel" mod GNU/Linux, hvor opdagerne ikke forklarer, hvordan værtssystemet er inficeret med malware
Hej, med hensyn til hvad du siger, hver fejl eller sårbarhedsopdagelse har en afsløringsproces fra det øjeblik, den afsløres, udvikleren eller projektet er informeret, der gives en henstandsperiode for at blive løst, nyhederne afsløres og endelig, hvis det ønskes , udgives xploit eller metode, der viser fejlen.