정교한 기술을 사용하여 자격 증명을 숨기고 훔치는 Linux 악성 코드를 Symbiote

Darkcrizt

4 분

많은 사용자 에 기반한 운영 체제의 Linux는 종종 "Linux에는 바이러스가 없다"는 오해를 가지고 있습니다. 그리고 그들은 선택한 배포판에 대한 사랑을 정당화하기 위해 더 큰 보안을 인용하기도 합니다. Linux의 "바이러스"에 대해 아는 것은 말하자면 "금기"이기 때문에 생각하는 이유는 분명합니다...

그리고 몇 년 동안 이것은 바뀌었습니다., Linux의 맬웨어 탐지에 대한 뉴스가 점점 더 정교해져서 감염된 시스템에서 숨기고 무엇보다도 자신의 존재를 유지할 수 있게 되었다는 소식이 들려오기 시작했습니다.

그리고 이것에 대해 이야기하는 사실은 며칠 전 악성코드의 한 형태가 발견되었습니다. 흥미로운 점은 Linux 시스템을 감염시키고 정교한 기술을 사용하여 자격 증명을 숨기고 훔친다는 것입니다.

이 악성코드를 발견한 직원은 "Symbiote"로 명명된 블랙베리 연구원, 이전에는 탐지할 수 없었지만 감염된 시스템에 피해를 주기 위해 실행 중인 다른 프로세스를 감염시켜야 하기 때문에 기생하는 역할을 합니다.

2021년 XNUMX월에 처음 발견된 Symbiote, 처음에는 라틴 아메리카의 금융 부문을 대상으로 작성되었습니다.. 감염에 성공하면 Symbiote는 자신과 다른 배포된 맬웨어를 숨겨 감염을 감지하기 어렵게 만듭니다.

멀웨어 Linux 시스템을 대상으로 하는 것은 새로운 것은 아니지만 Symbiote에서 사용하는 은밀한 기술이 눈에 띕니다. 링커는 LD_PRELOAD 지시문을 통해 맬웨어를 로드하여 다른 공유 개체보다 먼저 로드할 수 있습니다. 먼저 로드되기 때문에 응용 프로그램에 대해 로드된 다른 라이브러리 파일의 "가져오기"를 "하이재킹"할 수 있습니다. Symbiote는 이것을 사용하여 시스템에서 자신의 존재를 숨깁니다.

연구원들은 "맬웨어가 사용자 수준 루트킷으로 작동하기 때문에 감염을 감지하는 것이 어려울 수 있습니다"라고 결론지었습니다. "네트워크 원격 측정은 비정상적인 DNS 요청을 감지하는 데 사용할 수 있으며 안티바이러스 및 엔드포인트 감지와 같은 보안 도구와 응답은 사용자 루트킷에 의해 '감염'되지 않도록 정적으로 연결되어야 합니다."

Symbiote가 감염되면 실행 중인 모든 프로세스, 자격 증명을 수집하는 기능과 함께 공격 루트킷 기능을 제공합니다. 및 원격 액세스 기능.

Symbiote의 흥미로운 기술적 측면은 BPF(Berkeley Packet Filter) 선택 기능입니다. Symbiote는 BPF를 사용하는 최초의 Linux 맬웨어가 아닙니다. 예를 들어 Equation 그룹에 속하는 고급 백도어는 은밀한 통신에 BPF를 사용했습니다. 그러나 Symbiote는 BPF를 사용하여 감염된 시스템에서 악성 네트워크 트래픽을 숨깁니다.

관리자가 감염된 시스템에서 패킷 캡처 도구를 시작하면 캡처할 패킷을 정의하는 커널에 BPF 바이트 코드가 주입됩니다. 이 과정에서 Symbiote는 먼저 바이트코드를 추가하여 패킷 캡처 소프트웨어가 보지 못하도록 하는 네트워크 트래픽을 필터링할 수 있습니다.

Symbiote는 또한 다양한 기술을 사용하여 네트워크 활동을 숨길 수 있습니다. 이 커버는 맬웨어가 자격 증명을 획득하고 위협 행위자에게 원격 액세스를 제공하도록 허용하는 데 적합합니다.

연구원들은 탐지가 어려운 이유를 다음과 같이 설명합니다.

​​일단 맬웨어가 컴퓨터를 감염시키면 공격자가 사용하는 다른 맬웨어와 함께 스스로를 숨기므로 감염을 감지하기가 매우 어렵습니다. 맬웨어는 모든 파일, 프로세스 및 네트워크 아티팩트를 숨기므로 감염된 시스템의 실시간 포렌식 스캔은 아무 것도 드러내지 않을 수 있습니다. 루트킷 기능 외에도 이 멀웨어는 위협 행위자가 하드코딩된 암호를 사용하여 시스템의 모든 사용자로 로그인하고 가장 높은 권한으로 명령을 실행할 수 있도록 하는 백도어를 제공합니다.

매우 파악하기 어렵기 때문에 Symbiote 감염은 "레이더 아래에서 날아갈" 가능성이 높습니다. 조사를 통해 Symbiote가 고도로 표적화된 공격에 사용되는지 대규모 공격에 사용되는지 여부를 판단할 수 있는 충분한 증거를 찾지 못했습니다.

최종적으로 그것에 대해 더 많이 알고 싶다면에서 세부 정보를 확인할 수 있습니다. 다음 링크.


코멘트를 남겨주세요

귀하의 이메일 주소는 공개되지 않습니다. 필수 필드가 표시되어 있습니다 *

*

*

  1. 데이터 책임자 : Miguel Ángel Gatón
  2. 데이터의 목적 : 스팸 제어, 댓글 관리.
  3. 합법성 : 귀하의 동의
  4. 데이터 전달 : 법적 의무에 의한 경우를 제외하고 데이터는 제 XNUMX 자에게 전달되지 않습니다.
  5. 데이터 저장소 : Occentus Networks (EU)에서 호스팅하는 데이터베이스
  6. 권리 : 귀하는 언제든지 귀하의 정보를 제한, 복구 및 삭제할 수 있습니다.

  1.   초보자
    2 년

    항상 그렇듯이 GNU/Linux에 대한 또 다른 "위협"은 호스트 시스템을 감염시키기 위해 설치되는 방법을 말하지 않습니다.

    초보자에게 답장
  2.   초보자
    2 년

    항상 그렇듯이 발견자가 호스트 시스템이 맬웨어에 감염되는 방법을 설명하지 않는 GNU/Linux에 대한 또 다른 "위협"

    초보자에게 답장
    1.    다크크리츠
      2 년

      안녕하세요, 말씀하신 내용과 관련하여 모든 버그 또는 취약점 발견은 공개되는 순간부터 개발자 또는 프로젝트에 통지되는 순간부터 공개 프로세스가 있으며, 해결을 위한 유예 기간이 주어지며, 최종적으로 원하는 경우 뉴스가 공개됩니다. , 실패를 보여주는 xploit 또는 방법이 게시됩니다.

      Darkcrizt에 응답