Symbiote Linux zlonamjerni softver koji koristi sofisticirane tehnike za skrivanje i krađu vjerodajnica

Mnogi korisnici operativnih sustava temeljenih na Linux često ima zabludu da "u Linuxu nema virusa" a čak navode i veću sigurnost kako bi opravdali svoju ljubav prema odabranoj distribuciji i razlog za to je jasan, budući da je poznavanje "virusa" u Linuxu takoreći "tabu"...

I s godinama se to promijenilo., budući da su vijesti o otkrivanju zlonamjernog softvera u Linuxu sve češće počele zvučati o tome koliko su sofisticirani da mogu sakriti i prije svega zadržati svoju prisutnost u zaraženom sustavu.

A činjenica da se o ovome govori zato što prije nekoliko dana otkriven je oblik zlonamjernog softvera a zanimljivo je da inficira Linux sustave i koristi sofisticirane tehnike za skrivanje i krađu vjerodajnica.

Osoblje koje je otkrilo ovaj zlonamjerni softver su BlackBerry istraživači i kojega nazivaju "Symbiot", Ranije se nije mogao otkriti, djeluje parazitski jer treba zaraziti druge pokrenute procese kako bi nanio štetu zaraženim strojevima.

Simbiot, prvi put otkriven u studenom 2021. je u početku napisan za ciljanje financijskog sektora u Latinskoj Americi. Nakon uspješne infekcije, Symbiote skriva sebe i sve druge zlonamjerne programe, što otežava otkrivanje infekcija.

Zlonamjerni softver Ciljanje na Linux sustave nije novo, ali prikrivene tehnike koje koristi Symbiote ističu ga. Povezivač učitava zlonamjerni softver putem direktive LD_PRELOAD, dopuštajući mu da se učita prije svih drugih zajedničkih objekata. Budući da se prvi učitava, može "oteti uvoz" drugih datoteka biblioteke učitanih za aplikaciju. Symbiote to koristi da sakrije svoju prisutnost na stroju.

"Budući da zlonamjerni softver radi kao rootkit na razini korisnika, otkrivanje infekcije može biti teško", zaključuju istraživači. "Mrežna telemetrija može se koristiti za otkrivanje anomalnih DNS zahtjeva, a sigurnosni alati kao što su antivirusni programi i otkrivanje i odgovor krajnje točke moraju biti statički povezani kako bi se osiguralo da nisu 'inficirani' korisničkim rootkitovima."

Nakon što se Symbiote zarazi svi pokrenuti procesi, pruža napadačku funkcionalnost rootkita s mogućnošću prikupljanja vjerodajnica i mogućnost daljinskog pristupa.

Zanimljiv tehnički aspekt Symbiotea je njegova funkcija odabira Berkeley Packet Filter (BPF). Symbiote nije prvi Linux zlonamjerni softver koji koristi BPF. Na primjer, napredni backdoor pripisan grupi Equation koristio je BPF za tajnu komunikaciju. Međutim, Symbiote koristi BPF za skrivanje zlonamjernog mrežnog prometa na zaraženom računalu.

Kada administrator pokrene alat za hvatanje paketa na zaraženom stroju, BPF bajt-kod se ubrizgava u kernel koji definira pakete koji će biti zarobljeni. U ovom procesu Symbiote prvo dodaje svoj bajt kod kako bi mogao filtrirati mrežni promet koji ne želite da vidi softver za hvatanje paketa.

Symbiote također može sakriti vašu mrežnu aktivnost koristeći različite tehnike. Ova je maska ​​savršena za omogućavanje zlonamjernom softveru da dobije vjerodajnice i omogući daljinski pristup akteru prijetnje.

Istraživači objašnjavaju zašto ga je tako teško otkriti:

Nakon što zlonamjerni softver zarazi stroj, on se skriva, zajedno sa svim drugim zlonamjernim softverom koji koristi napadač, što otežava otkrivanje infekcija. Forenzičko skeniranje zaraženog stroja uživo možda neće otkriti ništa jer zlonamjerni softver skriva sve datoteke, procese i mrežne artefakte. Osim mogućnosti rootkita, zlonamjerni softver pruža backdoor koji omogućuje akteru prijetnje da se prijavi kao bilo koji korisnik na stroj s tvrdo kodiranom lozinkom i izvrši naredbe s najvišim privilegijama.

Budući da je iznimno neuhvatljiva, infekcija Symbioteom vjerojatno će "letjeti ispod radara". Kroz našu istragu nismo pronašli dovoljno dokaza da utvrdimo koristi li se Symbiote u visoko ciljanim napadima ili napadima velikih razmjera.

Konačno ako vas zanima više o tome, detalje možete provjeriti u sljedeći link.