Szimbióta egy Linux kártevő, amely kifinomult technikákat használ a hitelesítő adatok elrejtésére és ellopására

Sok felhasználó alapú operációs rendszerek A Linuxnak gyakran van egy olyan tévhit, hogy "a Linuxban nincsenek vírusok" sőt a választott disztribúció iránti szeretetük igazolására a nagyobb biztonságra hivatkoznak, és a gondolat oka egyértelmű, hiszen a Linux „vírusáról” tudni, hogy „tabu”…

És az évek során ez megváltozott., mióta egyre gyakrabban hallani kezdtek a Linuxban a rosszindulatú programok észleléséről szóló hírek arról, hogy mennyire kifinomulttá válik, hogy elrejtse és mindenekelőtt megőrizze jelenlétét a fertőzött rendszerben.

És az a tény, hogy erről beszélünk, azért van néhány napja felfedezték a rosszindulatú programok egyik formáját és az az érdekes, hogy megfertőzi a Linux rendszereket, és kifinomult technikákat használ a hitelesítő adatok elrejtésére és ellopására.

A kártevőt felfedező személyzet a A BlackBerry kutatói, akiket "Symbiote"-nak neveznek, Korábban nem volt észlelhető, ezért parazitaként viselkedik, mivel más futó folyamatokat kell megfertőznie, hogy károkat okozzon a fertőzött gépeken.

A szimbiótát először 2021 novemberében észlelték, eredetileg a latin-amerikai pénzügyi szektort célozta meg. Sikeres fertőzés esetén a Symbiote elrejti magát és minden más telepített rosszindulatú programot, ami megnehezíti a fertőzések észlelését.

Rosszindulatú A Linux rendszerek megcélzása nem újdonság, de a Symbiote által használt lopakodó technikák kiemelik. A linker az LD_PRELOAD direktíván keresztül tölti be a rosszindulatú programot, lehetővé téve annak betöltését minden más megosztott objektum előtt. Mivel ez töltődik be először, "eltérítheti" az alkalmazáshoz betöltött többi könyvtárfájl importját. A Symbiote ezt arra használja, hogy elrejtse jelenlétét a gépen.

"Mivel a rosszindulatú program felhasználói szintű rootkitként működik, a fertőzés észlelése nehéz lehet" - állapítják meg a kutatók. "A hálózati telemetria használható a rendellenes DNS-kérelmek észlelésére, és a biztonsági eszközöket, például a víruskeresőt és a végpont-észlelést és a válaszadást statikusan össze kell kapcsolni, hogy biztosítsák, ne fertőzzék meg őket a felhasználói rootkitek."

Miután a Symbiote megfertőződött minden futó folyamat, támadó rootkit funkciókat biztosít a hitelesítő adatok begyűjtésének lehetőségével és távoli hozzáférési lehetőség.

A Symbiote érdekes technikai vonatkozása a Berkeley Packet Filter (BPF) kiválasztási funkciója. A Symbiote nem az első olyan Linux kártevő, amely BPF-et használ. Például egy, az Egyenlet csoporthoz tartozó fejlett hátsó ajtó a BPF-et használta titkos kommunikációhoz. A Symbiote azonban BPF-et használ a rosszindulatú hálózati forgalom elrejtésére egy fertőzött gépen.

Amikor egy rendszergazda elindít egy csomagrögzítő eszközt a fertőzött gépen, a rendszer BPF bájtkódot injektál a kernelbe, amely meghatározza a rögzítendő csomagokat. Ebben a folyamatban a Symbiote először hozzáadja a bájtkódját, hogy ki tudja szűrni a hálózati forgalmat, amelyet nem szeretne, hogy a csomagrögzítő szoftver lásson.

A Symbiote különféle technikák segítségével elrejtheti hálózati tevékenységét. Ez a borító tökéletes arra, hogy lehetővé tegye a rosszindulatú programok számára, hogy hitelesítési adatokat szerezzenek, és távoli hozzáférést biztosítson a fenyegetés szereplőjének.

A kutatók elmagyarázzák, miért olyan nehéz észlelni:

Amint a rosszindulatú program megfertőzte a gépet, elrejti magát a támadó által használt bármely más rosszindulatú programmal együtt, ami nagyon megnehezíti a fertőzések észlelését. Előfordulhat, hogy a fertőzött gép élő kriminalisztikai vizsgálata semmit sem tár fel, mivel a kártevő elrejti az összes fájlt, folyamatot és hálózati műterméket. A rosszindulatú program a rootkit képessége mellett egy hátsó ajtót is biztosít, amely lehetővé teszi a fenyegetettség szereplőjének, hogy bármely felhasználóként bejelentkezzen a gépre, hardcoded jelszóval, és parancsokat hajtson végre a legmagasabb jogosultságokkal.

Mivel rendkívül megfoghatatlan, a Symbiote fertőzés valószínűleg "repül a radar alatt". Vizsgálatunk során nem találtunk elegendő bizonyítékot annak megállapítására, hogy a Symbiote-ot erősen célzott vagy nagyszabású támadásokhoz használják-e.

Végül ha érdekel, hogy többet tudjon meg róla, ellenőrizheti a részleteket a következő link.