एक Linux मैलवेयर सिम्बायोट जो क्रेडेंशियल्स को छिपाने और चोरी करने के लिए परिष्कृत तकनीकों का उपयोग करता है

अंधकारमय | | उबंटू

3 टिप्पणियाँ

उपयोगकर्ताओं में से कई ऑपरेटिंग सिस्टम के आधार पर लिनक्स में अक्सर एक गलत धारणा होती है कि "लिनक्स में कोई वायरस नहीं है" और वे चुने हुए वितरण के लिए अपने प्यार को सही ठहराने के लिए अधिक सुरक्षा का हवाला देते हैं और विचार का कारण स्पष्ट है, क्योंकि लिनक्स में "वायरस" के बारे में जानना "वर्जित" बोलना है ...

और इन वर्षों में, यह बदल गया है।, चूंकि लिनक्स में मैलवेयर की खोज की खबरें अधिक से अधिक बार सुनाई देने लगी हैं कि वे कितने परिष्कृत हो जाते हैं और सबसे ऊपर संक्रमित सिस्टम में अपनी उपस्थिति बनाए रखने में सक्षम हो जाते हैं।

और इस बारे में बात करने का तथ्य यह है कि कुछ दिन पहले मैलवेयर का एक रूप खोजा गया था और दिलचस्प बात यह है कि यह लिनक्स सिस्टम को संक्रमित करता है और क्रेडेंशियल्स को छिपाने और चोरी करने के लिए परिष्कृत तकनीकों का उपयोग करता है।

इस मैलवेयर की खोज करने वाले कर्मचारी थे ब्लैकबेरी शोधकर्ता और जिन्हें वे "सिम्बायोट" नाम देते हैं, पहले पता नहीं चल पाता, यह परजीवी का काम करता है क्योंकि संक्रमित मशीनों को नुकसान पहुंचाने के लिए इसे अन्य चल रही प्रक्रियाओं को संक्रमित करने की आवश्यकता होती है।

सिम्बायोट, पहली बार नवंबर 2021 में पता चला, शुरू में लैटिन अमेरिका में वित्तीय क्षेत्र को लक्षित करने के लिए लिखा गया था. एक सफल संक्रमण होने पर, सिम्बायोट खुद को और किसी अन्य तैनात मैलवेयर को छुपा देता है, जिससे संक्रमण का पता लगाना मुश्किल हो जाता है।

मैलवेयर Linux सिस्टम को लक्षित करना कोई नई बात नहीं है, लेकिन Symbiote द्वारा इस्तेमाल की गई गुप्त तकनीकें इसे सबसे अलग बनाती हैं। लिंकर मैलवेयर को LD_PRELOAD निर्देश के माध्यम से लोड करता है, जिससे यह किसी अन्य साझा ऑब्जेक्ट से पहले लोड हो जाता है। चूंकि इसे पहले लोड किया जाता है, इसलिए यह एप्लिकेशन के लिए लोड की गई अन्य लाइब्रेरी फ़ाइलों के "आयात को हाईजैक" कर सकता है। सिम्बायोट इसका उपयोग मशीन पर अपनी उपस्थिति छिपाने के लिए करता है।

"चूंकि मैलवेयर उपयोगकर्ता-स्तरीय रूटकिट के रूप में काम करता है, इसलिए संक्रमण का पता लगाना मुश्किल हो सकता है," शोधकर्ताओं का निष्कर्ष है। "नेटवर्क टेलीमेट्री का उपयोग विषम डीएनएस अनुरोधों का पता लगाने के लिए किया जा सकता है और एंटीवायरस और एंडपॉइंट डिटेक्शन जैसे सुरक्षा उपकरण और प्रतिक्रिया को स्थिर रूप से जोड़ा जाना चाहिए ताकि यह सुनिश्चित हो सके कि वे उपयोगकर्ता रूटकिट द्वारा 'संक्रमित' नहीं हैं।"

एक बार सिम्बायोट संक्रमित हो गया सभी चल रही प्रक्रियाएं, क्रेडेंशियल की कटाई करने की क्षमता के साथ हमलावर रूटकिट कार्यक्षमता प्रदान करता है और रिमोट एक्सेस क्षमता।

सिम्बायोट का एक दिलचस्प तकनीकी पहलू इसकी बर्कले पैकेट फ़िल्टर (बीपीएफ) चयन कार्यक्षमता है। सिम्बायोट बीपीएफ का उपयोग करने वाला पहला लिनक्स मैलवेयर नहीं है। उदाहरण के लिए, समीकरण समूह के लिए जिम्मेदार एक उन्नत पिछले दरवाजे ने गुप्त संचार के लिए बीपीएफ का इस्तेमाल किया। हालाँकि, Symbiote किसी संक्रमित मशीन पर दुर्भावनापूर्ण नेटवर्क ट्रैफ़िक को छिपाने के लिए BPF का उपयोग करता है।

जब कोई व्यवस्थापक संक्रमित मशीन पर पैकेट कैप्चर टूल प्रारंभ करता है, तो BPF बाइटकोड को कर्नेल में अंतःक्षिप्त किया जाता है जो कैप्चर किए जाने वाले पैकेट को परिभाषित करता है। इस प्रक्रिया में, सिम्बायोट पहले अपना बायटेकोड जोड़ता है ताकि वह नेटवर्क ट्रैफ़िक को फ़िल्टर कर सके जिसे आप पैकेट कैप्चर सॉफ़्टवेयर नहीं देखना चाहते।

सिम्बायोट विभिन्न तकनीकों का उपयोग करके आपकी नेटवर्क गतिविधि को भी छिपा सकता है। यह कवर मैलवेयर को क्रेडेंशियल प्राप्त करने और थ्रेट एक्टर को रिमोट एक्सेस प्रदान करने की अनुमति देने के लिए एकदम सही है।

शोधकर्ता बताते हैं कि यह पता लगाना इतना मुश्किल क्यों है:

एक बार मैलवेयर किसी मशीन को संक्रमित कर देता है, तो यह हमलावर द्वारा उपयोग किए गए किसी भी अन्य मैलवेयर के साथ खुद को छुपा लेता है, जिससे संक्रमण का पता लगाना बहुत मुश्किल हो जाता है। एक संक्रमित मशीन का लाइव फोरेंसिक स्कैन कुछ भी प्रकट नहीं कर सकता है, क्योंकि मैलवेयर सभी फाइलों, प्रक्रियाओं और नेटवर्क कलाकृतियों को छुपाता है। रूटकिट क्षमता के अलावा, मैलवेयर एक बैकडोर प्रदान करता है जो खतरनाक अभिनेता को हार्डकोडेड पासवर्ड के साथ मशीन पर किसी भी उपयोगकर्ता के रूप में लॉग इन करने और उच्चतम विशेषाधिकारों के साथ कमांड निष्पादित करने की अनुमति देता है।

चूंकि यह बेहद मायावी है, इसलिए सिम्बायोट संक्रमण के "रडार के नीचे उड़ने" की संभावना है। अपनी जांच के माध्यम से, हमें यह निर्धारित करने के लिए पर्याप्त सबूत नहीं मिले कि सिम्बायोट का उपयोग अत्यधिक लक्षित या बड़े पैमाने पर हमलों में किया जाता है।

अंत में यदि आप इसके बारे में अधिक जानने में रुचि रखते हैं, आप में विवरण देख सकते हैं निम्नलिखित लिंक।


लेख की सामग्री हमारे सिद्धांतों का पालन करती है संपादकीय नैतिकता। त्रुटि की रिपोर्ट करने के लिए क्लिक करें यहां.

3 टिप्पणियाँ, तुम्हारा छोड़ दो

अपनी टिप्पणी दर्ज करें

आपका ईमेल पता प्रकाशित नहीं किया जाएगा। आवश्यक फ़ील्ड के साथ चिह्नित कर रहे हैं *

*

*

  1. डेटा के लिए जिम्मेदार: मिगुएल elngel Gatón
  2. डेटा का उद्देश्य: नियंत्रण स्पैम, टिप्पणी प्रबंधन।
  3. वैधता: आपकी सहमति
  4. डेटा का संचार: डेटा को कानूनी बाध्यता को छोड़कर तीसरे पक्ष को संचार नहीं किया जाएगा।
  5. डेटा संग्रहण: ऑकेंटस नेटवर्क्स (EU) द्वारा होस्ट किया गया डेटाबेस
  6. अधिकार: किसी भी समय आप अपनी जानकारी को सीमित, पुनर्प्राप्त और हटा सकते हैं।

  1.   नौसिखिया कहा
    पूर्व 12 महीने

    हमेशा की तरह, जीएनयू/लिनक्स के लिए एक और "खतरा" कि वे यह नहीं कहते कि यह होस्ट सिस्टम को संक्रमित करने के लिए कैसे स्थापित हो जाता है

    उत्तर देने के लिए नौसिखिया
  2.   नौसिखिया कहा
    पूर्व 12 महीने

    हमेशा की तरह, जीएनयू/लिनक्स के लिए एक और "खतरा" जहां खोजकर्ता यह नहीं बताते हैं कि होस्ट सिस्टम मैलवेयर से कैसे संक्रमित है

    उत्तर देने के लिए नौसिखिया
    1.    अंधकारमय कहा
      पूर्व 12 महीने

      नमस्कार, आप जो कहते हैं, उसके बारे में प्रत्येक बग या भेद्यता खोज में प्रकटीकरण प्रक्रिया होती है, जिस क्षण से इसका खुलासा किया जाता है, डेवलपर या परियोजना को सूचित किया जाता है, इसे हल करने के लिए एक अनुग्रह अवधि दी जाती है, समाचार का खुलासा किया जाता है और अंत में, यदि वांछित है , xploit या विधि जो विफलता को प्रदर्शित करती है प्रकाशित हो चुकी है।.

      Darkcrizt का जवाब दें