高度な技術を使用して資格情報を隠したり盗んだりするLinuxマルウェアをシンビオートする

ユーザーの多く に基づくオペレーティングシステムの Linuxには、「Linuxにはウイルスがない」という誤解がよくあります。 Linuxの「ウイルス」について知ることは、いわば「タブー」であるため、彼らは、選択したディストリビューションへの愛情を正当化するために、より優れたセキュリティを引用しています。

そして何年にもわたって、これは変化しました。、Linuxでのマルウェア検出のニュースがますます頻繁に聞こえ始めたため、マルウェアがどれほど洗練されて隠れるようになり、何よりも感染したシステムでの存在を維持できるようになりました。

そして、これについて話すという事実は、 数日前、ある種のマルウェアが発見されました 興味深いのは、Linuxシステムに感染し、高度な技術を使用して資格情報を隠したり盗んだりすることです。

このマルウェアを発見した担当者は BlackBerryの研究者であり、彼らは「Symbiote」と名付けています。 以前は検出できませんでしたが、感染したマシンに損傷を与えるために他の実行中のプロセスに感染する必要があるため、寄生的に機能します。

2021年XNUMX月に最初に検出されたシンビオート 当初はラテンアメリカの金融セクターをターゲットに作成されました。 感染が成功すると、Symbioteは自身と他の展開されたマルウェアを隠し、感染の検出を困難にします。

マルウェア Linuxシステムをターゲットにすることは新しいことではありませんが、Symbioteが使用するステルス技術はそれを際立たせます。 リンカはLD_PRELOADディレクティブを介してマルウェアをロードし、他の共有オブジェクトの前にロードできるようにします。 最初にロードされるため、アプリケーション用にロードされた他のライブラリファイルの「インポートを乗っ取る」ことができます。 Symbioteはこれを使用して、マシン上での存在を隠します。

「マルウェアはユーザーレベルのルートキットとして機能するため、感染の検出は困難な場合があります」と研究者らは結論付けています。 「ネットワークテレメトリを使用して、異常なDNS要求を検出できます。また、ウイルス対策やエンドポイントの検出や応答などのセキュリティツールを静的にリンクして、ユーザーのルートキットに「感染」しないようにする必要があります。」

シンビオートが感染したら 実行中のすべてのプロセス、 クレデンシャルを収集する機能を備えた攻撃ルートキット機能を提供します およびリモートアクセス機能。

Symbioteの興味深い技術的側面は、Berkeley Packet Filter（BPF）選択機能です。 Symbioteは、BPFを使用する最初のLinuxマルウェアではありません。 たとえば、Equationグループに起因する高度なバックドアは、秘密の通信にBPFを使用していました。 ただし、SymbioteはBPFを使用して、感染したマシン上の悪意のあるネットワークトラフィックを隠します。

管理者が感染したマシンでパケットキャプチャツールを起動すると、キャプチャするパケットを定義するカーネルにBPFバイトコードが挿入されます。 このプロセスでは、Symbioteは最初にバイトコードを追加して、パケットキャプチャソフトウェアに見せたくないネットワークトラフィックをフィルタリングできるようにします。

Symbioteは、さまざまな手法を使用してネットワークアクティビティを非表示にすることもできます。 このカバーは、マルウェアが資格情報を取得し、脅威アクターへのリモートアクセスを提供できるようにするのに最適です。

研究者は、なぜ検出が非常に難しいのかを説明しています。

マルウェアがマシンに感染すると、攻撃者が使用する他のマルウェアと一緒に自身を隠し、感染の検出を非常に困難にします。 マルウェアはすべてのファイル、プロセス、およびネットワークアーティファクトを隠すため、感染したマシンのライブフォレンジックスキャンでは何も明らかにならない場合があります。 ルートキット機能に加えて、このマルウェアは、攻撃者がハードコードされたパスワードを使用してマシン上の任意のユーザーとしてログインし、最高の特権でコマンドを実行できるようにするバックドアを提供します。

それは非常にとらえどころのないものであるため、シンビオート感染は「レーダーの下を飛ぶ」可能性があります。 調査の結果、Symbioteが高度に標的化された攻撃で使用されているのか大規模な攻撃で使用されているのかを判断するのに十分な証拠は見つかりませんでした。

最後に あなたがそれについてもっと知りたいなら、詳細はで確認できます 次のリンク。