Symbiote eine Linux-Malware, die ausgeklügelte Techniken zum Verbergen und Stehlen von Anmeldeinformationen verwendet

Darkcrizt

4 Minuten

Viele der Benutzer von Betriebssystemen basierend auf Linux hat oft das Missverständnis, dass „unter Linux keine Viren existieren“ und sie berufen sich sogar auf mehr Sicherheit, um ihre Liebe zur gewählten Distribution zu rechtfertigen, und der Grund für den Gedanken ist klar, da das Wissen um einen „Virus“ in Linux sozusagen ein „Tabu“ ist…

Und im Laufe der Jahre hat sich das geändert., seit die Nachrichten über Malware-Erkennungen in Linux immer häufiger und mehr danach klingen, wie raffiniert sie werden, um ihre Präsenz im infizierten System zu verbergen und vor allem aufrechtzuerhalten.

Und die Tatsache, darüber zu sprechen, ist, weil Vor einigen Tagen wurde eine Form von Malware entdeckt und das Interessante ist, dass es Linux-Systeme infiziert und ausgeklügelte Techniken verwendet, um Anmeldeinformationen zu verbergen und zu stehlen.

Die Mitarbeiter, die diese Malware entdeckt haben, waren die BlackBerry-Forscher, die sie als "Symbiote" bezeichnen, Zuvor nicht erkennbar, verhält es sich parasitär, da es andere laufende Prozesse infizieren muss, um infizierten Computern Schaden zuzufügen.

Symbiote, erstmals im November 2021 entdeckt, wurde ursprünglich geschrieben, um auf den Finanzsektor in Lateinamerika abzuzielen. Bei einer erfolgreichen Infektion verbirgt sich Symbiote selbst und jede andere bereitgestellte Malware, was es schwierig macht, Infektionen zu erkennen.

Malware Das Zielen auf Linux-Systeme ist nicht neu, aber die von Symbiote verwendeten heimlichen Techniken heben es hervor. Der Linker lädt die Malware über die Anweisung LD_PRELOAD, sodass sie vor allen anderen gemeinsam genutzten Objekten geladen werden kann. Da es zuerst geladen wird, kann es die Importe der anderen für die Anwendung geladenen Bibliotheksdateien "kapern". Symbiote verwendet dies, um seine Präsenz auf der Maschine zu verbergen.

„Da die Malware als Rootkit auf Benutzerebene funktioniert, kann es schwierig sein, eine Infektion zu erkennen“, schlussfolgern die Forscher. „Netzwerktelemetrie kann verwendet werden, um anomale DNS-Anforderungen zu erkennen, und Sicherheitstools wie Antivirus- und Endpoint-Erkennung und -Antwort müssen statisch verknüpft werden, um sicherzustellen, dass sie nicht von Benutzer-Rootkits ‚infiziert‘ werden.“

Sobald Symbiote infiziert ist alle laufenden Prozesse, bietet angreifende Rootkit-Funktionalität mit der Möglichkeit, Anmeldeinformationen zu sammeln und Fernzugriffsfähigkeit.

Ein interessanter technischer Aspekt von Symbiote ist seine Berkeley Packet Filter (BPF) Auswahlfunktion. Symbiote ist nicht die erste Linux-Malware, die BPF verwendet. Beispielsweise verwendete eine fortschrittliche Hintertür, die der Equation-Gruppe zugeschrieben wird, den BPF für verdeckte Kommunikation. Symbiote verwendet jedoch BPF, um schädlichen Netzwerkverkehr auf einem infizierten Computer zu verbergen.

Wenn ein Administrator ein Tool zum Erfassen von Paketen auf dem infizierten Computer startet, wird BPF-Bytecode in den Kernel eingefügt, der die zu erfassenden Pakete definiert. Bei diesem Vorgang fügt Symbiote zunächst seinen Bytecode hinzu, damit es den Netzwerkverkehr filtern kann, den die Paketerfassungssoftware nicht sehen soll.

Symbiote kann Ihre Netzwerkaktivität auch mithilfe verschiedener Techniken verbergen. Diese Abdeckung ist perfekt, um Malware zu ermöglichen, Anmeldeinformationen zu erhalten und dem Angreifer Fernzugriff zu gewähren.

Die Forscher erklären, warum es so schwer zu erkennen ist:

​​Sobald Malware einen Computer infiziert hat, versteckt sie sich zusammen mit anderer Malware, die vom Angreifer verwendet wird, wodurch Infektionen sehr schwer zu erkennen sind. Ein forensischer Live-Scan eines infizierten Computers zeigt möglicherweise nichts, da die Malware alle Dateien, Prozesse und Netzwerkartefakte verbirgt. Zusätzlich zur Rootkit-Fähigkeit bietet die Malware eine Hintertür, die es dem Angreifer ermöglicht, sich als beliebiger Benutzer auf dem Computer mit einem fest codierten Passwort anzumelden und Befehle mit den höchsten Privilegien auszuführen.

Da es extrem schwer fassbar ist, wird eine Symbiote-Infektion wahrscheinlich „unter dem Radar fliegen“. Bei unserer Untersuchung haben wir nicht genügend Beweise gefunden, um festzustellen, ob Symbiote bei sehr gezielten oder groß angelegten Angriffen verwendet wird.

Schließlich wenn Sie mehr darüber wissen möchtenkönnen Sie die Details in der überprüfen folgenden Link


Hinterlasse einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert mit *

*

*

  1. Verantwortlich für die Daten: Miguel Ángel Gatón
  2. Zweck der Daten: Kontrolle von SPAM, Kommentarverwaltung.
  3. Legitimation: Ihre Zustimmung
  4. Übermittlung der Daten: Die Daten werden nur durch gesetzliche Verpflichtung an Dritte weitergegeben.
  5. Datenspeicherung: Von Occentus Networks (EU) gehostete Datenbank
  6. Rechte: Sie können Ihre Informationen jederzeit einschränken, wiederherstellen und löschen.

  1.   Neuling sagte
    vor 2-jährige

    Wie immer, eine weitere "Bedrohung" für GNU/Linux, dass sie nicht sagen, wie es installiert wird, um das Hostsystem zu infizieren

    Antworte dem Neuling
  2.   Neuling sagte
    vor 2-jährige

    Wie immer eine weitere „Bedrohung“ für GNU/Linux, bei der die Entdecker nicht erklären, wie das Hostsystem mit Malware infiziert wird

    Antworte dem Neuling
    1.    Dunkelkrizt sagte
      vor 2-jährige

      Hallo, zu dem, was Sie sagen, jede Entdeckung von Fehlern oder Schwachstellen hat einen Offenlegungsprozess ab dem Moment, in dem sie offengelegt werden, der Entwickler oder das Projekt informiert wird, eine Nachfrist für die Lösung eingeräumt wird, die Neuigkeiten bekannt gegeben werden und schließlich, falls gewünscht , wird das xploit oder die Methode, die den Fehler zeigt, veröffentlicht.

      Antworte auf Darkcrizt