Daugelis vartotojų operacinių sistemų, pagrįstų „Linux“ dažnai turi klaidingą nuomonę, kad „Linux nėra virusų“ ir jie netgi nurodo didesnį saugumą, kad pateisintų savo meilę pasirinktam platinimui, o minties priežastis aiški, nes žinoti apie „virusą“ Linux sistemoje yra taip sakant „tabu“...
Ir bėgant metams tai pasikeitė., nes naujienos apie kenkėjiškų programų aptikimą sistemoje „Linux“ pradėjo skambėti vis dažniau ir daugiau apie tai, kaip jos tampa sudėtingos, kad galėtų paslėpti ir, svarbiausia, išlaikyti savo buvimą užkrėstoje sistemoje.
O kalbėti apie tai yra todėl prieš kelias dienas buvo aptikta kenkėjiškų programų forma ir įdomus dalykas yra tai, kad jis užkrečia Linux sistemas ir naudoja sudėtingas technologijas, kad paslėptų ir pavogtų kredencialus.
Darbuotojai, aptikę šią kenkėjišką programą, buvo „BlackBerry“ tyrėjai ir pavadina juos „Symbiote“, Anksčiau nebuvo aptinkamas, jis veikia kaip parazitas, nes turi užkrėsti kitus veikiančius procesus, kad padarytų žalą užkrėstoms mašinoms.
Simbiotas, pirmą kartą aptiktas 2021 m. lapkritį, iš pradžių buvo skirtas Lotynų Amerikos finansų sektoriui. Sėkmingai užsikrėtus, Symbiote paslepia save ir bet kokią kitą įdiegtą kenkėjišką programą, todėl sunku aptikti infekcijas.
Kenkėjiška programa Taikymas „Linux“ sistemoms nėra naujas dalykas, tačiau „Symbiote“ naudojamos slaptos technikos ją išskiria. Susiejimo priemonė įkelia kenkėjišką programą naudodama direktyvą LD_PRELOAD, leidžiančią jai įkelti anksčiau nei kiti bendrinami objektai. Kadangi jis įkeliamas pirmiausia, jis gali „užgrobti“ kitų programai įkeltų bibliotekos failų importą. „Symbiote“ tai naudoja, kad paslėptų savo buvimą mašinoje.
„Kadangi kenkėjiška programa veikia kaip vartotojo lygio rootkit, aptikti infekciją gali būti sunku“, – daro išvadą tyrėjai. „Tinklo telemetrija gali būti naudojama anomalioms DNS užklausoms aptikti, o saugos įrankiai, tokie kaip antivirusinė ir galutinio taško aptikimas bei atsakymas, turi būti statiškai susieti, siekiant užtikrinti, kad jie nebūtų „užkrėsti“ vartotojo šaknų rinkiniais.
Kai Symbiote užsikrėtė visi veikiantys procesai, suteikia atakuojančias rootkit funkcijas su galimybe rinkti kredencialus ir nuotolinės prieigos galimybė.
Įdomus „Symbiote“ techninis aspektas yra jo „Berkeley Packet Filter“ (BPF) pasirinkimo funkcija. „Symbiote“ nėra pirmoji „Linux“ kenkėjiška programa, kuri naudoja BPF. Pavyzdžiui, pažangios užpakalinės durys, priskirtos lygčių grupei, slaptam ryšiui naudojo BPF. Tačiau „Symbiote“ naudoja BPF, kad paslėptų kenkėjišką tinklo srautą užkrėstame kompiuteryje.
Kai administratorius užkrėstame kompiuteryje paleidžia paketų fiksavimo įrankį, BPF baito kodas įvedamas į branduolį, kuris apibrėžia fiksuojamus paketus. Šiame procese „Symbiote“ pirmiausia prideda savo baitų kodą, kad galėtų filtruoti tinklo srautą, kurio nenorite matyti paketų fiksavimo programinės įrangos.
„Symbiote“ taip pat gali paslėpti jūsų tinklo veiklą naudodama įvairius metodus. Šis dangtelis puikiai tinka kenkėjiškoms programoms gauti kredencialus ir nuotolinę prieigą prie grėsmės veikėjo.
Tyrėjai paaiškina, kodėl taip sunku aptikti:
Kai kenkėjiška programa užkrečia kompiuterį, ji pasislepia kartu su bet kuria kita užpuoliko naudojama kenkėjiška programa, todėl labai sunku aptikti infekcijas. Tiesioginis užkrėsto įrenginio nuskaitymas gali nieko neatskleisti, nes kenkėjiška programa slepia visus failus, procesus ir tinklo artefaktus. Be rootkit galimybės, kenkėjiška programa suteikia užpakalines duris, leidžiančias grėsmės veikėjui prisijungti kaip bet kuriam įrenginio vartotojui su užkoduotu slaptažodžiu ir vykdyti komandas su aukščiausiomis privilegijomis.
Kadangi tai yra labai sunkiai suprantama, Simbiote infekcija greičiausiai „paskris po radaru“. Atlikdami tyrimą neradome pakankamai įrodymų, kad galėtume nustatyti, ar Symbiote naudojamas labai tiksliniams ar didelio masto išpuoliams.
Pagaliau jei norite sužinoti daugiau apie tai, išsamią informaciją galite patikrinti sekanti nuoroda.
Kaip visada, dar viena „grėsmė“ GNU/Linux, kad jie nesako, kaip jis įdiegiamas, kad užkrėstų pagrindinę sistemą
Kaip visada, dar viena „grėsmė“ GNU/Linux, kai atradėjai nepaaiškina, kaip pagrindinė sistema užkrėsta kenkėjiška programa.
Sveiki, kalbant apie tai, ką sakote, kiekviena klaida ar pažeidžiamumo atradimas turi atskleidimo procesą nuo tada, kai jis atskleidžiamas, informuojamas kūrėjas ar projektas, suteikiamas malonės laikotarpis jai išspręsti, naujienos atskleidžiamos ir galiausiai, jei pageidaujama , paskelbiamas xploit arba metodas, rodantis gedimą.