Πολλοί από τους χρήστες λειτουργικών συστημάτων που βασίζονται σε Το Linux έχει συχνά μια εσφαλμένη αντίληψη ότι "στο Linux δεν υπάρχουν ιοί" Και αναφέρουν ακόμη μεγαλύτερη ασφάλεια για να δικαιολογήσουν την αγάπη τους για την επιλεγμένη διανομή και ο λόγος για τη σκέψη είναι ξεκάθαρος, αφού η γνώση ενός «ιού» στο Linux είναι θα λέγαμε «ταμπού»…
Και με τα χρόνια, αυτό έχει αλλάξει., δεδομένου ότι τα νέα για ανιχνεύσεις κακόβουλου λογισμικού στο Linux έχουν αρχίσει να ακούγονται πιο συχνά και περισσότερο για το πόσο εξελιγμένα γίνονται ώστε να μπορούν να κρύβονται και κυρίως να διατηρούν την παρουσία τους στο μολυσμένο σύστημα.
Και το γεγονός ότι μιλάμε για αυτό οφείλεται στο ότι Πριν από λίγες μέρες ανακαλύφθηκε μια μορφή κακόβουλου λογισμικού και το ενδιαφέρον είναι ότι μολύνει συστήματα Linux και χρησιμοποιεί εξελιγμένες τεχνικές για απόκρυψη και κλοπή διαπιστευτηρίων.
Το προσωπικό που ανακάλυψε αυτό το κακόβουλο λογισμικό ήταν το Οι ερευνητές του BlackBerry και τους οποίους ονομάζουν "Symbiote", Προηγουμένως μη ανιχνεύσιμο, δρα παρασιτικά καθώς χρειάζεται να μολύνει άλλες διεργασίες που εκτελούνται για να προκαλέσει ζημιά σε μολυσμένα μηχανήματα.
Το Symbiote, που εντοπίστηκε για πρώτη φορά τον Νοέμβριο του 2021, γράφτηκε αρχικά για να στοχεύσει τον χρηματοπιστωτικό τομέα στη Λατινική Αμερική. Μετά από μια επιτυχημένη μόλυνση, το Symbiote κρύβεται και οποιοδήποτε άλλο αναπτυγμένο κακόβουλο λογισμικό, καθιστώντας δύσκολο τον εντοπισμό μολύνσεων.
Κακόβουλο λογισμικό Η στόχευση συστημάτων Linux δεν είναι νέα, αλλά οι μυστικές τεχνικές που χρησιμοποιεί η Symbiote την κάνουν να ξεχωρίζει. Ο σύνδεσμος φορτώνει το κακόβουλο λογισμικό μέσω της οδηγίας LD_PRELOAD, επιτρέποντάς του να φορτώσει πριν από οποιαδήποτε άλλα κοινόχρηστα αντικείμενα. Εφόσον φορτώνεται πρώτο, μπορεί να "παρασύρει τις εισαγωγές" των άλλων αρχείων βιβλιοθήκης που έχουν φορτωθεί για την εφαρμογή. Το Symbiote το χρησιμοποιεί αυτό για να κρύψει την παρουσία του στο μηχάνημα.
«Δεδομένου ότι το κακόβουλο λογισμικό λειτουργεί ως rootkit σε επίπεδο χρήστη, ο εντοπισμός μιας μόλυνσης μπορεί να είναι δύσκολος», καταλήγουν οι ερευνητές. "Η τηλεμετρία δικτύου μπορεί να χρησιμοποιηθεί για τον εντοπισμό ανώμαλων αιτημάτων DNS και τα εργαλεία ασφαλείας, όπως η ανίχνευση ιών και ο εντοπισμός και η απόκριση τελικού σημείου πρέπει να συνδέονται στατικά για να διασφαλιστεί ότι δεν "μολύνονται" από rootkits χρηστών."
Μόλις το Symbiote μολυνθεί όλες οι διεργασίες που εκτελούνται, παρέχει επιθετική λειτουργικότητα rootkit με δυνατότητα συλλογής διαπιστευτηρίων και δυνατότητα απομακρυσμένης πρόσβασης.
Μια ενδιαφέρουσα τεχνική πτυχή του Symbiote είναι η λειτουργία επιλογής του φίλτρου πακέτων Berkeley (BPF). Το Symbiote δεν είναι το πρώτο κακόβουλο λογισμικό Linux που χρησιμοποιεί το BPF. Για παράδειγμα, μια προηγμένη κερκόπορτα που αποδίδεται στην ομάδα Equation χρησιμοποιούσε το BPF για κρυφές επικοινωνίες. Ωστόσο, το Symbiote χρησιμοποιεί το BPF για να αποκρύψει την κακόβουλη κυκλοφορία δικτύου σε ένα μολυσμένο μηχάνημα.
Όταν ένας διαχειριστής ξεκινά ένα εργαλείο σύλληψης πακέτων στο μολυσμένο μηχάνημα, ο bytecode BPF εγχέεται στον πυρήνα που ορίζει τα πακέτα που πρόκειται να καταγραφούν. Σε αυτή τη διαδικασία, το Symbiote προσθέτει πρώτα τον bytecode του ώστε να μπορεί να φιλτράρει την κυκλοφορία δικτύου που δεν θέλετε να βλέπει το λογισμικό λήψης πακέτων.
Το Symbiote μπορεί επίσης να κρύψει τη δραστηριότητα του δικτύου σας χρησιμοποιώντας διάφορες τεχνικές. Αυτό το κάλυμμα είναι τέλειο για να επιτρέπει στο κακόβουλο λογισμικό να αποκτά διαπιστευτήρια και να παρέχει απομακρυσμένη πρόσβαση στον παράγοντα απειλής.
Οι ερευνητές εξηγούν γιατί είναι τόσο δύσκολο να εντοπιστεί:
Μόλις το κακόβουλο λογισμικό μολύνει ένα μηχάνημα, κρύβεται, μαζί με οποιοδήποτε άλλο κακόβουλο λογισμικό που χρησιμοποιείται από τον εισβολέα, καθιστώντας πολύ δύσκολο τον εντοπισμό των μολύνσεων. Μια ζωντανή ιατροδικαστική σάρωση ενός μολυσμένου μηχανήματος ενδέχεται να μην αποκαλύψει τίποτα, καθώς το κακόβουλο λογισμικό κρύβει όλα τα αρχεία, τις διαδικασίες και τα τεχνουργήματα δικτύου. Εκτός από τη δυνατότητα rootkit, το κακόβουλο λογισμικό παρέχει μια κερκόπορτα που επιτρέπει στον παράγοντα απειλής να συνδεθεί ως οποιοσδήποτε χρήστης στο μηχάνημα με κωδικοποιημένο κωδικό πρόσβασης και να εκτελεί εντολές με τα υψηλότερα προνόμια.
Δεδομένου ότι είναι εξαιρετικά άπιαστο, μια μόλυνση Symbiote είναι πιθανό να "πετάξει κάτω από το ραντάρ". Μέσω της έρευνάς μας, δεν βρήκαμε αρκετά στοιχεία για να προσδιορίσουμε εάν το Symbiote χρησιμοποιείται σε επιθέσεις υψηλής στόχευσης ή μεγάλης κλίμακας.
Τελικά αν ενδιαφέρεστε να μάθετε περισσότερα γι 'αυτό, μπορείτε να ελέγξετε τις λεπτομέρειες στο παρακάτω σύνδεσμο.
Όπως πάντα, άλλη μια "απειλή" για το GNU/Linux ότι δεν λένε πώς εγκαθίσταται για να μολύνει το σύστημα υποδοχής
Όπως πάντα, μια άλλη «απειλή» για το GNU/Linux όπου οι ανακαλύψεις δεν εξηγούν πώς το σύστημα κεντρικού υπολογιστή έχει μολυνθεί με κακόβουλο λογισμικό
Γεια σας, σχετικά με αυτό που λέτε, κάθε ανακάλυψη σφάλματος ή ευπάθειας έχει μια διαδικασία αποκάλυψης από τη στιγμή που αποκαλύπτεται, ενημερώνεται ο προγραμματιστής ή το έργο, δίνεται περίοδος χάριτος για την επίλυσή του, αποκαλύπτονται τα νέα και τέλος, αν θέλετε , δημοσιεύεται το xploit ή η μέθοδος που δείχνει την αποτυχία.