Monet käyttäjistä perustuvat käyttöjärjestelmät Linuxilla on usein väärinkäsitys, että "Linuxissa ei ole viruksia" ja he jopa vetoavat suurempaan turvallisuuteen perustellakseen rakkauttaan valittua jakelua kohtaan ja syy ajatukseen on selvä, koska Linuxin "viruksen" tunteminen on niin sanotusti "tabu"...
Ja vuosien saatossa tämä on muuttunut., koska uutiset haittaohjelmien havaitsemisesta Linuxissa ovat alkaneet kuulla yhä useammin siitä, kuinka kehittyneitä niistä tulee, jotta he voivat piilottaa ja ennen kaikkea säilyttää läsnäolonsa tartunnan saaneessa järjestelmässä.
Ja tosiasia, että tästä puhutaan, johtuu siitä muutama päivä sitten löydettiin eräänlainen haittaohjelma ja mielenkiintoista on, että se saastuttaa Linux-järjestelmiä ja käyttää kehittyneitä tekniikoita valtuustietojen piilottamiseen ja varastamiseen.
Henkilökunta, joka löysi tämän haittaohjelman, oli BlackBerry-tutkijat ja joita he kutsuvat nimellä "Symbiote", Aiemmin havaitsematon, se toimii loisperäisenä, koska sen on tartuttava muihin käynnissä oleviin prosesseihin vahingoittaakseen tartunnan saaneita koneita.
Symbiote havaittiin ensimmäisen kerran marraskuussa 2021, kirjoitettiin alun perin kohdistamaan Latinalaisen Amerikan rahoitussektorille. Onnistuneen tartunnan jälkeen Symbiote piilottaa itsensä ja kaikki muut käyttöönotetut haittaohjelmat, mikä vaikeuttaa tartuntojen havaitsemista.
haittaohjelmat Linux-järjestelmiin kohdistaminen ei ole uutta, mutta Symbioten käyttämät salakavalat tekniikat tekevät siitä erottuvan. Linkkeri lataa haittaohjelman LD_PRELOAD-direktiivin kautta, jolloin se latautuu ennen muita jaettuja objekteja. Koska se ladataan ensin, se voi kaapata muiden sovellusta varten ladattujen kirjastotiedostojen tuonnit. Symbiote käyttää tätä piilottaakseen läsnäolonsa koneessa.
"Koska haittaohjelma toimii käyttäjätason rootkitina, tartunnan havaitseminen voi olla vaikeaa", tutkijat päättelevät. "Verkon telemetriaa voidaan käyttää poikkeavien DNS-pyyntöjen havaitsemiseen, ja suojaustyökalut, kuten virustentorjunta ja päätepisteiden tunnistus ja vastaus on linkitettävä staattisesti, jotta voidaan varmistaa, etteivät käyttäjien rootkit "tartunna" niitä."
Kun Symbiote on saanut tartunnan kaikki käynnissä olevat prosessit, tarjoaa hyökkääviä rootkit-toimintoja ja mahdollisuuden kerätä tunnistetietoja ja etäkäyttömahdollisuus.
Mielenkiintoinen Symbioten tekninen puoli on sen Berkeley Packet Filter (BPF) -valintatoiminto. Symbiote ei ole ensimmäinen Linux-haittaohjelma, joka käyttää BPF:ää. Esimerkiksi Yhtälöryhmälle määritetty edistynyt takaovi käytti BPF:ää peitellyn viestintään. Symbiote käyttää kuitenkin BPF:ää haitallisen verkkoliikenteen piilottamiseen tartunnan saaneessa koneessa.
Kun järjestelmänvalvoja käynnistää pakettien sieppaustyökalun tartunnan saaneessa koneessa, BPF-tavukoodi ruiskutetaan ytimeen, joka määrittää siepattavat paketit. Tässä prosessissa Symbiote lisää ensin tavukoodinsa, jotta se voi suodattaa verkkoliikennettä, jota et halua pakettikaappausohjelmiston näkevän.
Symbiote voi myös piilottaa verkkotoimintasi erilaisilla tekniikoilla. Tämä kansi on täydellinen mahdollistamaan haittaohjelmien valtuustietojen hankkiminen ja etäkäytön tarjoaminen uhkatekijälle.
Tutkijat selittävät, miksi se on niin vaikea havaita:
Kun haittaohjelma on tartuttanut koneen, se piilottaa itsensä muiden hyökkääjän käyttämien haittaohjelmien ohella, mikä tekee tartunnan havaitsemisesta erittäin vaikeaa. Tartunnan saaneen koneen reaaliaikainen rikostekninen tarkistus ei välttämättä paljasta mitään, koska haittaohjelma piilottaa kaikki tiedostot, prosessit ja verkon artefaktit. Rootkit-ominaisuuden lisäksi haittaohjelma tarjoaa takaoven, jonka avulla uhkatekijä voi kirjautua sisään minkä tahansa käyttäjänä koneelle kovakoodatulla salasanalla ja suorittaa komentoja korkeimmilla oikeuksilla.
Koska Symbiote-infektio on erittäin vaikeasti havaittavissa, se todennäköisesti "lentää tutkan alla". Emme löytäneet tutkimuksissamme riittävästi todisteita sen määrittämiseksi, käytetäänkö Symbiotea erittäin kohdistetuissa vai laajamittaisissa hyökkäyksissä.
Vihdoin jos olet kiinnostunut tietämään siitä lisää, voit tarkistaa yksityiskohdat seuraava linkki.
Kuten aina, toinen "uhka" GNU/Linuxille, että he eivät kerro kuinka se asennetaan saastuttaakseen isäntäjärjestelmän
Kuten aina, toinen "uhka" GNU/Linuxille, jossa löytäjät eivät selitä kuinka isäntäjärjestelmä on saastunut haittaohjelmilla
Hei, mitä sanot, jokaisella bugi- tai haavoittuvuuslöydöllä on ilmoitusprosessi siitä hetkestä lähtien, kun se paljastetaan, kehittäjälle tai projektille on ilmoitettu, armonaikaa annetaan sen ratkaisemiselle, uutiset julkistetaan ja lopuksi haluttaessa , vian osoittava xploit tai menetelmä julkaistaan.