רבים מהמשתמשים של מערכות הפעלה המבוססות על ללינוקס יש לעתים קרובות תפיסה שגויה ש"בלינוקס אין וירוסים" והם אפילו מציינים אבטחה גדולה יותר כדי להצדיק את אהבתם להפצה הנבחרת והסיבה למחשבה ברורה, שכן הידיעה על "וירוס" בלינוקס היא כביכול "טאבו"...
ועם השנים זה השתנה., מאז החדשות על איתור תוכנות זדוניות בלינוקס החלו להישמע לעתים קרובות יותר ויותר לגבי כמה מתוחכמים הם הופכים להיות מסוגלים להסתיר ובעיקר לשמור על נוכחותם במערכת הנגועה.
והעובדה לדבר על זה היא בגלל לפני מספר ימים התגלתה סוג של תוכנה זדונית והדבר המעניין הוא שהוא מדביק מערכות לינוקס ומשתמש בטכניקות מתוחכמות כדי להסתיר ולגנוב אישורים.
הצוות שגילה את התוכנה הזדונית הזו היה חוקרי בלקברי ושהם קוראים להם "סימביוט", בעבר לא ניתן לזיהוי, הוא פועל בטפילי מכיוון שהוא צריך להדביק תהליכים פועלים אחרים כדי לגרום נזק למכונות נגועות.
סימביוט, זוהה לראשונה בנובמבר 2021, נכתב בתחילה כדי למקד את המגזר הפיננסי באמריקה הלטינית. לאחר הדבקה מוצלחת, Symbiote מסתיר את עצמה וכל תוכנה זדונית אחרת שנפרסה, מה שמקשה על זיהוי זיהומים.
תוכנה זדונית התמקדות במערכות לינוקס אינה חדשה, אבל הטכניקות החמקניות שבהן משתמשת Symbiote גורמות לזה להתבלט. המקשר טוען את התוכנה הזדונית באמצעות הנחיית LD_PRELOAD, מה שמאפשר לה להיטען לפני כל אובייקט משותף אחר. מכיוון שהוא נטען ראשון, הוא יכול "לחטוף את הייבוא" של קבצי הספרייה האחרים שנטענו עבור האפליקציה. Symbiote משתמש בזה כדי להסתיר את נוכחותו במכונה.
"מכיוון שהתוכנה הזדונית פועלת כ-Rootkit ברמת המשתמש, זיהוי זיהום יכול להיות קשה", מסכמים החוקרים. "ניתן להשתמש בטלמטריית רשת כדי לזהות בקשות DNS חריגות וכלי אבטחה כגון אנטי וירוס וזיהוי ותגובה של נקודות קצה חייבים להיות מקושרים סטטית כדי להבטיח שהם לא 'נגועים' על ידי ערכות שורש של משתמשים."
ברגע שסימביוט נדבק כל התהליכים הרצים, מספק פונקציונליות תוקפת של rootkit עם יכולת לאסוף אישורים ויכולת גישה מרחוק.
היבט טכני מעניין של Symbiote הוא פונקציונליות בחירת מסנן החבילות של ברקלי (BPF). Symbiote היא לא תוכנת Linux הראשונה שמשתמשת ב-BPF. לדוגמה, דלת אחורית מתקדמת המיוחסת לקבוצת Equation השתמשה ב-BPF לתקשורת סמויה. עם זאת, Symbiote משתמשת ב-BPF כדי להסתיר תעבורת רשת זדונית במחשב נגוע.
כאשר מנהל מערכת מפעיל כלי לכידת מנות במחשב הנגוע, קוד BPF מוזרק לתוך הליבה המגדירה את החבילות שיילכדו. בתהליך זה, Symbiote מוסיפה תחילה את ה-bytecode שלה כך שהיא תוכל לסנן תעבורת רשת שאינך רוצה שתוכנת לכידת מנות תראה.
Symbiote יכול גם להסתיר את פעילות הרשת שלך באמצעות טכניקות שונות. כיסוי זה מושלם לאפשר לתוכנות זדוניות להשיג אישורים ולספק גישה מרחוק לשחקן האיום.
החוקרים מסבירים מדוע כל כך קשה לזהות:
ברגע שתוכנה זדונית הדביקה מכונה, היא מסתירה את עצמה, יחד עם כל תוכנה זדונית אחרת שבה משתמש התוקף, מה שמקשה מאוד על זיהוי הזיהומים. סריקה משפטית חיה של מכונה נגועה עשויה שלא לחשוף דבר, שכן התוכנה הזדונית מסתירה את כל הקבצים, התהליכים וחפצי הרשת. בנוסף ליכולת ה-rootkit, התוכנה הזדונית מספקת דלת אחורית המאפשרת לשחקן האיום להיכנס כמו כל משתמש במחשב עם סיסמה מקודדת ולבצע פקודות עם ההרשאות הגבוהות ביותר.
מכיוון שהוא חמקמק ביותר, סביר להניח שזיהום סימביוט "יעוף מתחת לרדאר". באמצעות החקירה שלנו, לא מצאנו מספיק ראיות כדי לקבוע אם סימביוט משמש בהתקפות ממוקדות מאוד או בקנה מידה גדול.
בסופו של דבר אם אתה מעוניין לדעת יותר על כך, אתה יכול לבדוק את הפרטים ב הקישור הבא.
כמו תמיד, עוד "איום" עבור GNU/Linux שהם לא אומרים איך זה מותקן כדי להדביק את המערכת המארחת
כמו תמיד, עוד "איום" על GNU/Linux שבו המגלים לא מסבירים כיצד המערכת המארחת נגועה בתוכנה זדונית
שלום, לגבי דבריך, לכל באג או גילוי פגיעות יש תהליך חשיפה מרגע חשיפתו, יידוע היזם או הפרויקט, ניתנת תקופת חסד לפתרון, החדשות נחשפה ולבסוף, אם רוצים. , מפורסמת ה-xploit או השיטה המדגימה את הכישלון.