Sümbiootis Linuxi pahavara, mis kasutab mandaatide peitmiseks ja varastamiseks keerukaid tehnikaid

Paljud kasutajad põhineb operatsioonisüsteemidel Linuxil on sageli eksiarvamus, et "Linuxis pole viiruseid" ja nad viitavad isegi suuremale turvalisusele, et õigustada oma armastust valitud distributsiooni vastu ja selle mõtte põhjus on selge, kuna Linuxi "viirusest" teadmine on nii-öelda "tabu" ...

Ja aastate jooksul on see muutunud., kuna uudised pahavara tuvastamise kohta Linuxis on hakanud üha sagedamini kõlama selle kohta, kui keerukaks need muutuvad, et nad suudaksid oma kohalolekut nakatunud süsteemis varjata ja ennekõike säilitada.

Ja sellest rääkimine on sellepärast paar päeva tagasi avastati teatud tüüpi pahavara ja huvitav on see, et see nakatab Linuxi süsteeme ja kasutab mandaatide peitmiseks ja varastamiseks keerukaid tehnikaid.

Selle pahavara avastanud töötajad olid BlackBerry teadlased ja mida nad nimetavad "Symbiote" Varem tuvastamatu, toimib see parasiitidena, kuna peab nakatunud masinatele kahjustamiseks nakatama teisi töötavaid protsesse.

Sümbioot, mis avastati esmakordselt 2021. aasta novembris, oli algselt kirjutatud Ladina-Ameerika finantssektori sihtimiseks. Eduka nakatumise korral peidab Symbiote enda ja muu juurutatud pahavara, muutes infektsioonide tuvastamise keeruliseks.

Pahavara Linuxi süsteemide sihtimine pole uus, kuid Symbiote'i kasutatud vargsi tehnikad tõstavad selle esile. Linker laadib pahavara direktiivi LD_PRELOAD kaudu, võimaldades sellel laadida enne mis tahes muid jagatud objekte. Kuna see laaditakse esimesena, võib see "kaaperdada impordid" muudelt rakenduse jaoks laaditud teegifailidelt. Symbiote kasutab seda oma kohaloleku varjamiseks masinas.

"Kuna pahavara töötab kasutajataseme juurkomplektina, võib nakkuse tuvastamine olla keeruline," järeldavad teadlased. "Võrgu telemeetriat saab kasutada anomaalsete DNS-päringute tuvastamiseks ja turbetööriistad, nagu viirusetõrje ja lõpp-punkti tuvastamine ja vastus, peavad olema staatiliselt lingitud, et tagada, et need pole kasutaja juurkomplektidega "nakatunud".

Kui Symbiote on nakatunud kõik jooksvad protsessid, pakub ründavat juurkomplekti funktsiooni koos mandaatide kogumise võimalusega ja kaugjuurdepääsu võimalus.

Symbiote'i huvitav tehniline aspekt on selle Berkeley pakettfiltri (BPF) valikufunktsioon. Symbiote ei ole esimene Linuxi pahavara, mis kasutab BPF-i. Näiteks rühmale Equation omistatud täiustatud tagauks kasutas varjatud suhtluseks BPF-i. Symbiote kasutab aga BPF-i, et varjata nakatunud masinas pahatahtlikku võrguliiklust.

Kui administraator käivitab nakatunud masinas pakettide püüdmise tööriista, sisestatakse BPF-i baitkood kernelisse, mis määrab hõivatavad paketid. Selle protsessi käigus lisab Symbiote esmalt oma baitkoodi, et saaks filtreerida võrguliiklust, mida te ei soovi, et pakettide püüdmise tarkvara näeks.

Symbiote võib ka teie võrgutegevust erinevate tehnikate abil varjata. See kate sobib suurepäraselt selleks, et võimaldada pahavaral saada mandaate ja pakkuda ohus osalejale kaugjuurdepääsu.

Teadlased selgitavad, miks seda on nii raske tuvastada:

Kui pahavara on masina nakatanud, peidab see end koos mis tahes muu ründaja kasutatud pahavaraga, muutes nakkuste tuvastamise väga raskeks. Nakatunud masina reaalajas kohtuekspertiisi skannimine ei pruugi midagi paljastada, kuna pahavara peidab kõik failid, protsessid ja võrguartefaktid. Lisaks juurkomplekti võimekusele pakub pahavara tagaukse, mis võimaldab ohutegijal sisse logida mis tahes kasutajana masinasse, kasutades kõvakodeeritud parooli ja täita käske kõrgeimate õigustega.

Kuna see on äärmiselt tabamatu, lendab Symbiote'i infektsioon tõenäoliselt "radari alla". Uurimise käigus ei leidnud me piisavalt tõendeid, et teha kindlaks, kas Symbiotet kasutatakse väga sihitud või ulatuslikes rünnakutes.

Lõpuks kui olete huvitatud sellest rohkem teada saama, saate üksikasju vaadata järgmine link.