Daudzi no lietotājiem operētājsistēmām, kuru pamatā ir Linux bieži vien ir maldīgs priekšstats, ka "Linux nav vīrusu" un viņi pat min lielāku drošību, lai attaisnotu savu mīlestību pret izvēlēto izplatīšanu, un domas iemesls ir skaidrs, jo zināt par "vīrusu" Linux ir tā sakot "tabu"...
Un gadu gaitā tas ir mainījies., kopš ziņas par ļaunprātīgas programmatūras atklāšanu operētājsistēmā Linux arvien biežāk ir sākušas izskanēt par to, cik sarežģīti tās kļūst, lai varētu slēpt un, galvenais, saglabāt savu klātbūtni inficētajā sistēmā.
Un fakts par to runāt ir tāpēc pirms dažām dienām tika atklāta kāda veida ļaunprātīga programmatūra un interesanti ir tas, ka tas inficē Linux sistēmas un izmanto sarežģītas metodes, lai slēptu un nozagtu akreditācijas datus.
Personāls, kas atklāja šo ļaunprātīgo programmatūru, bija BlackBerry pētnieki, kurus viņi nosauc par "Symbiote", Iepriekš nebija nosakāms, tas darbojas kā parazīts, jo tam ir jāinficē citi darbojošie procesi, lai nodarītu bojājumus inficētajām mašīnām.
Simbiots, pirmo reizi atklāts 2021. gada novembrī, sākotnēji tika rakstīts, lai mērķētu uz finanšu sektoru Latīņamerikā. Veiksmīgas inficēšanās gadījumā Symbiote slēpj sevi un jebkuru citu izvietoto ļaunprogrammatūru, tādējādi apgrūtinot infekciju noteikšanu.
Ļaunprātīga programmatūra mērķēšana uz Linux sistēmām nav nekas jauns, taču Symbiote izmantotās slepenās metodes izceļ to. Saistītāja ielādē ļaunprātīgu programmatūru, izmantojot direktīvu LD_PRELOAD, ļaujot tai ielādēt pirms citiem koplietotiem objektiem. Tā kā tas tiek ielādēts vispirms, tas var "nolaupīt importētos datus" no citiem lietojumprogrammai ielādētajiem bibliotēkas failiem. Symbiote to izmanto, lai paslēptu savu klātbūtni mašīnā.
"Tā kā ļaunprogrammatūra darbojas kā lietotāja līmeņa rootkit, infekcijas noteikšana var būt sarežģīta," secina pētnieki. "Tīkla telemetriju var izmantot, lai noteiktu anomālus DNS pieprasījumus, un drošības rīkiem, piemēram, pretvīrusu un galapunktu noteikšanai un atbildei, jābūt statiski saistītai, lai nodrošinātu, ka tie nav "inficēti" ar lietotāju sakņu komplektiem."
Kad Symbiote ir inficējies visi notiekošie procesi, nodrošina uzbrukuma rootkit funkcionalitāti ar iespēju iegūt akreditācijas datus un attālās piekļuves iespējas.
Interesants Symbiote tehniskais aspekts ir tā Berkeley pakešu filtra (BPF) atlases funkcionalitāte. Symbiote nav pirmā Linux ļaunprātīgā programmatūra, kas izmanto BPF. Piemēram, uzlabotas aizmugures durvis, kas attiecinātas uz grupu Vienādojums, izmantoja BPF slēptai saziņai. Tomēr Symbiote izmanto BPF, lai slēptu ļaunprātīgu tīkla trafiku inficētajā mašīnā.
Kad administrators inficētajā datorā palaiž pakešu tveršanas rīku, BPF baitkods tiek ievadīts kodolā, kas nosaka tveramās paketes. Šajā procesā Symbiote vispirms pievieno savu baitkodu, lai tas varētu filtrēt tīkla trafiku, kuru nevēlaties redzēt pakešu uztveršanas programmatūrai.
Symbiote var arī slēpt jūsu tīkla darbību, izmantojot dažādas metodes. Šis vāks ir lieliski piemērots, lai ļautu ļaunprātīgai programmatūrai iegūt akreditācijas datus un nodrošināt attālinātu piekļuvi apdraudējuma izraisītājam.
Pētnieki paskaidro, kāpēc to ir tik grūti noteikt:
Kad ļaunprogrammatūra ir inficējusi iekārtu, tā paslēpjas kopā ar jebkuru citu uzbrucēja izmantoto ļaunprogrammatūru, tādējādi infekcijas ir ļoti grūti atklāt. Inficētas mašīnas tiešā kriminālistikas skenēšana var neko neatklāt, jo ļaunprogrammatūra slēpj visus failus, procesus un tīkla artefaktus. Papildus rootkit iespējām ļaunprogrammatūra nodrošina aizmugures durvis, kas ļauj draudu izpildītājam pieteikties kā jebkuram datora lietotājam ar cieto kodu un izpildīt komandas ar visaugstākajām privilēģijām.
Tā kā tā ir ārkārtīgi nenotverama, Symbiote infekcija, visticamāk, "lidos zem radara". Veicot izmeklēšanu, mēs neatradām pietiekami daudz pierādījumu, lai noteiktu, vai Symbiote tiek izmantots ļoti mērķtiecīgiem vai liela mēroga uzbrukumiem.
Beidzot ja jūs interesē uzzināt vairāk par to, sīkāku informāciju varat pārbaudīt šī saite.
Kā vienmēr, vēl viens "drauds" GNU/Linux, ka viņi nepasaka, kā tas tiek instalēts, lai inficētu resursdatora sistēmu
Kā vienmēr, vēl viens "drauds" GNU/Linux, kur atklājēji nepaskaidro, kā resursdatora sistēma ir inficēta ar ļaunprātīgu programmatūru
Labdien, attiecībā uz jūsu teikto, katrai kļūdai vai ievainojamības atklāšanai ir izpaušanas process no brīža, kad tas tiek atklāts, izstrādātājs vai projekts tiek informēts, tiek dots labvēlības periods tā atrisināšanai, jaunumu izpaušana un, visbeidzot, pēc vēlēšanās , tiek publicēts xploit vai metode, kas parāda kļūmi.