Symbiote un malware Linux qui utilise des techniques sophistiquées pour cacher et voler des informations d'identification

De nombreux utilisateurs de systèmes d'exploitation basés sur Linux a souvent l'idée fausse que "dans Linux, il n'y a pas de virus" et ils invoquent même une plus grande sécurité pour justifier leur amour pour la distribution choisie et la raison de la pensée est claire, puisque connaître un « virus » sous Linux est pour ainsi dire un « tabou »…

Et au fil des années, cela a changé., depuis que les nouvelles des détections de logiciels malveillants sous Linux ont commencé à sonner de plus en plus sur la façon dont ils deviennent sophistiqués pour pouvoir se cacher et surtout maintenir leur présence dans le système infecté.

Et le fait d'en parler c'est parce que il y a quelques jours, une forme de malware a été découverte et ce qui est intéressant, c'est qu'il infecte les systèmes Linux et utilise des techniques sophistiquées pour cacher et voler les informations d'identification.

Le personnel qui a découvert ce logiciel malveillant était le chercheurs de BlackBerry et qu'ils appellent "Symbiote", Auparavant indétectable, il agit comme un parasite car il doit infecter d'autres processus en cours d'exécution pour infliger des dommages aux machines infectées.

Symbiote, détecté pour la première fois en novembre 2021, a été initialement écrit pour cibler le secteur financier en Amérique latine. En cas d'infection réussie, Symbiote se cache ainsi que tout autre logiciel malveillant déployé, ce qui rend difficile la détection des infections.

Malware cibler les systèmes Linux n'est pas nouveau, mais les techniques furtives utilisées par Symbiote le distinguent. L'éditeur de liens charge le logiciel malveillant via la directive LD_PRELOAD, lui permettant de se charger avant tout autre objet partagé. Puisqu'il est chargé en premier, il peut "détourner les importations" des autres fichiers de bibliothèque chargés pour l'application. Symbiote s'en sert pour masquer sa présence sur la machine.

"Étant donné que le logiciel malveillant fonctionne comme un rootkit au niveau de l'utilisateur, la détection d'une infection peut être difficile", concluent les chercheurs. "La télémétrie réseau peut être utilisée pour détecter les requêtes DNS anormales et les outils de sécurité tels que l'antivirus et la détection et la réponse des terminaux doivent être liés de manière statique pour s'assurer qu'ils ne sont pas" infectés "par les rootkits des utilisateurs."

Une fois que Symbiote a infecté tous les processus en cours d'exécution, fournit une fonctionnalité de rootkit attaquant avec la possibilité de récolter des informations d'identification et capacité d'accès à distance.

Un aspect technique intéressant de Symbiote est sa fonctionnalité de sélection Berkeley Packet Filter (BPF). Symbiote n'est pas le premier malware Linux à utiliser BPF. Par exemple, une porte dérobée avancée attribuée au groupe Equation a utilisé le BPF pour des communications secrètes. Cependant, Symbiote utilise BPF pour masquer le trafic réseau malveillant sur une machine infectée.

Lorsqu'un administrateur démarre un outil de capture de paquets sur la machine infectée, le bytecode BPF est injecté dans le noyau qui définit les paquets à capturer. Dans ce processus, Symbiote ajoute d'abord son bytecode afin qu'il puisse filtrer le trafic réseau que vous ne voulez pas que le logiciel de capture de paquets voie.

Symbiote peut également masquer votre activité réseau en utilisant diverses techniques. Cette couverture est parfaite pour permettre aux logiciels malveillants d'obtenir des informations d'identification et de fournir un accès à distance à l'auteur de la menace.

Les chercheurs expliquent pourquoi il est si difficile à détecter :

​​Une fois qu'un logiciel malveillant a infecté une machine, il se cache, ainsi que tout autre logiciel malveillant utilisé par l'attaquant, ce qui rend les infections très difficiles à détecter. Une analyse médico-légale en direct d'une machine infectée peut ne rien révéler, car le logiciel malveillant masque tous les fichiers, processus et artefacts du réseau. En plus de la capacité de rootkit, le logiciel malveillant fournit une porte dérobée qui permet à l'auteur de la menace de se connecter en tant que n'importe quel utilisateur sur la machine avec un mot de passe codé en dur et d'exécuter des commandes avec les privilèges les plus élevés.

Puisqu'elle est extrêmement insaisissable, une infection Symbiote est susceptible de "voler sous le radar". Au cours de notre enquête, nous n'avons pas trouvé suffisamment de preuves pour déterminer si Symbiote est utilisé dans des attaques très ciblées ou à grande échelle.

Enfin si vous souhaitez en savoir plus, vous pouvez vérifier les détails dans le lien suivant


3 commentaires, laissez le vôtre

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont marqués avec *

*

*

  1. Responsable des données: Miguel Ángel Gatón
  2. Finalité des données: Contrôle du SPAM, gestion des commentaires.
  3. Légitimation: votre consentement
  4. Communication des données: Les données ne seront pas communiquées à des tiers sauf obligation légale.
  5. Stockage des données: base de données hébergée par Occentus Networks (EU)
  6. Droits: à tout moment, vous pouvez limiter, récupérer et supprimer vos informations.

  1.   Débutant dit

    Comme toujours, une autre "menace" pour GNU/Linux qu'ils ne disent pas comment il est installé pour infecter le système hôte

  2.   Débutant dit

    Comme toujours, une autre "menace" pour GNU/Linux où les découvreurs n'expliquent pas comment le système hôte est infecté par des logiciels malveillants

    1.    Sombrecrizt dit

      Bonjour, concernant ce que vous dites, chaque découverte de bogue ou de vulnérabilité a un processus de divulgation à partir du moment où il est divulgué, le développeur ou le projet est informé, un délai de grâce est accordé pour qu'il soit résolu, la nouvelle est divulguée et enfin, si vous le souhaitez , le xploit ou la méthode qui démontre l'échec est publié.