Symbiote malware Linux yang menggunakan teknik canggih untuk menyembunyikan dan mencuri kredensial

Banyak penggunanya sistem operasi berdasarkan Linux sering memiliki kesalahpahaman bahwa "di Linux tidak ada virus" dan mereka bahkan menyebutkan keamanan yang lebih besar untuk membenarkan kecintaan mereka pada distribusi yang dipilih dan alasan pemikiran itu jelas, karena mengetahui tentang "virus" di Linux bisa dikatakan "tabu"…

Dan selama bertahun-tahun, ini telah berubah., sejak berita tentang deteksi malware di Linux mulai terdengar lebih sering dan lebih tentang betapa canggihnya mereka untuk dapat menyembunyikan dan terutama mempertahankan kehadiran mereka di sistem yang terinfeksi.

Dan fakta membicarakan ini adalah karena beberapa hari yang lalu sebuah bentuk malware ditemukan dan hal yang menarik adalah ia menginfeksi sistem Linux dan menggunakan teknik canggih untuk menyembunyikan dan mencuri kredensial.

Personil yang menemukan malware ini adalah Peneliti BlackBerry dan yang mereka namakan sebagai "Symbiote", Sebelumnya tidak terdeteksi, ia bertindak parasit karena perlu menginfeksi proses lain yang sedang berjalan untuk menimbulkan kerusakan pada mesin yang terinfeksi.

Symbiote, pertama kali terdeteksi pada November 2021, awalnya ditulis untuk menargetkan sektor keuangan di Amerika Latin. Setelah infeksi berhasil, Symbiote menyembunyikan dirinya dan malware lain yang disebarkan, sehingga sulit untuk mendeteksi infeksi.

Malware menargetkan sistem Linux bukanlah hal baru, tetapi teknik tersembunyi yang digunakan oleh Symbiote membuatnya menonjol. Linker memuat malware melalui arahan LD_PRELOAD, memungkinkannya untuk memuat sebelum objek bersama lainnya. Karena dimuat terlebih dahulu, itu dapat "membajak impor" dari file perpustakaan lain yang dimuat untuk aplikasi. Symbiote menggunakan ini untuk menyembunyikan keberadaannya di mesin.

"Karena malware bekerja sebagai rootkit tingkat pengguna, mendeteksi infeksi bisa jadi sulit," para peneliti menyimpulkan. "Telemetri jaringan dapat digunakan untuk mendeteksi permintaan DNS anomali dan alat keamanan seperti antivirus dan deteksi titik akhir dan respons harus ditautkan secara statis untuk memastikan mereka tidak 'terinfeksi' oleh rootkit pengguna."

Setelah Symbiote terinfeksi semua proses yang berjalan, menyediakan fungsionalitas rootkit yang menyerang dengan kemampuan untuk memanen kredensial dan kemampuan akses jarak jauh.

Aspek teknis yang menarik dari Symbiote adalah fungsionalitas pemilihan Berkeley Packet Filter (BPF). Symbiote bukanlah malware Linux pertama yang menggunakan BPF. Misalnya, backdoor canggih yang dikaitkan dengan grup Persamaan menggunakan BPF untuk komunikasi rahasia. Namun, Symbiote menggunakan BPF untuk menyembunyikan lalu lintas jaringan berbahaya pada mesin yang terinfeksi.

Ketika seorang administrator memulai alat penangkap paket pada mesin yang terinfeksi, bytecode BPF disuntikkan ke dalam kernel yang mendefinisikan paket yang akan ditangkap. Dalam proses ini, Symbiote pertama-tama menambahkan bytecode-nya sehingga dapat memfilter lalu lintas jaringan yang tidak ingin dilihat oleh perangkat lunak penangkap paket.

Symbiote juga dapat menyembunyikan aktivitas jaringan Anda menggunakan berbagai teknik. Penutup ini sangat cocok untuk memungkinkan malware mendapatkan kredensial dan memberikan akses jarak jauh ke pelaku ancaman.

Para peneliti menjelaskan mengapa sangat sulit untuk dideteksi:

Setelah malware menginfeksi mesin, ia menyembunyikan dirinya, bersama dengan malware lain yang digunakan oleh penyerang, membuat infeksi menjadi sangat sulit untuk dideteksi. Pemindaian forensik langsung dari mesin yang terinfeksi mungkin tidak mengungkapkan apa pun, karena malware menyembunyikan semua file, proses, dan artefak jaringan. Selain kemampuan rootkit, malware menyediakan pintu belakang yang memungkinkan pelaku ancaman untuk masuk sebagai pengguna mana pun di mesin dengan kata sandi yang di-hardcode dan menjalankan perintah dengan hak istimewa tertinggi.

Karena sangat sulit dipahami, infeksi Symbiote cenderung "terbang di bawah radar." Melalui penyelidikan kami, kami tidak menemukan cukup bukti untuk menentukan apakah Symbiote digunakan dalam serangan yang sangat bertarget atau berskala besar.

Akhirnya jika Anda tertarik untuk mengetahui lebih banyak tentangnya, Anda dapat memeriksa detailnya di link berikut.