Symbiote एक Linux मालवेअर जे क्रेडेन्शियल लपवण्यासाठी आणि चोरण्यासाठी अत्याधुनिक तंत्रांचा वापर करते

वापरकर्त्यांपैकी बरेच आधारित ऑपरेटिंग सिस्टम्सची लिनक्समध्ये "लिनक्समध्ये कोणतेही व्हायरस नाहीत" असा गैरसमज असतो. आणि ते निवडलेल्या वितरणाबद्दलच्या प्रेमाचे समर्थन करण्यासाठी अधिक सुरक्षिततेचा हवाला देतात आणि विचार करण्याचे कारण स्पष्ट आहे, कारण लिनक्समधील “व्हायरस” बद्दल जाणून घेणे म्हणजे “निषिद्ध” आहे…

आणि वर्षानुवर्षे हे बदलले आहे., Linux मध्ये मालवेअर डिटेक्शनच्या बातम्यांमुळे ते किती अत्याधुनिक आहेत हे लपविण्यासाठी आणि सर्वात महत्त्वाचे म्हणजे संक्रमित सिस्टीममध्ये त्यांची उपस्थिती टिकवून ठेवण्यासाठी किती अत्याधुनिक बनले आहेत याबद्दल अधिक वेळा आवाज येऊ लागला आहे.

आणि याबद्दल बोलण्याची वस्तुस्थिती कारण आहे काही दिवसांपूर्वी मालवेअरचा एक प्रकार सापडला होता आणि मनोरंजक गोष्ट अशी आहे की ते लिनक्स सिस्टमला संक्रमित करते आणि क्रेडेन्शियल्स लपवण्यासाठी आणि चोरण्यासाठी अत्याधुनिक तंत्रांचा वापर करते.

ज्या कर्मचाऱ्यांनी हा मालवेअर शोधला ते होते ब्लॅकबेरी संशोधक आणि ज्याला ते "सिम्बायोट" असे नाव देतात, पूर्वी आढळून येत नसलेले, ते परजीवी म्हणून कार्य करते कारण त्यास संक्रमित मशीनचे नुकसान करण्यासाठी इतर चालू प्रक्रिया संक्रमित करणे आवश्यक आहे.

नोव्हेंबर 2021 मध्ये पहिल्यांदा आढळून आलेला Symbiote, सुरुवातीला लॅटिन अमेरिकेतील आर्थिक क्षेत्राला लक्ष्य करण्यासाठी लिहिले होते. यशस्वी संसर्ग झाल्यानंतर, सिम्बायोट स्वतःला आणि इतर कोणतेही उपयोजित मालवेअर लपवते, ज्यामुळे संक्रमण शोधणे कठीण होते.

मालवेयर लिनक्स सिस्टीमला लक्ष्य करणे नवीन नाही, परंतु सिम्बायोटने वापरलेली स्टिल्थी तंत्रे ते वेगळे बनवतात. लिंकर LD_PRELOAD निर्देशांद्वारे मालवेअर लोड करतो, ज्यामुळे इतर कोणत्याही सामायिक केलेल्या वस्तूंपूर्वी लोड होऊ शकतो. ते प्रथम लोड केल्यामुळे, ते अनुप्रयोगासाठी लोड केलेल्या इतर लायब्ररी फायलींचे "आयात हायजॅक" करू शकते. सिम्बायोट मशीनवर त्याची उपस्थिती लपवण्यासाठी याचा वापर करते.

"मालवेअर वापरकर्ता-स्तरीय रूटकिट म्हणून काम करत असल्याने, संसर्ग शोधणे कठीण होऊ शकते," संशोधकांचा निष्कर्ष आहे. "नेटवर्क टेलीमेट्रीचा वापर विसंगत DNS विनंत्या शोधण्यासाठी केला जाऊ शकतो आणि सुरक्षा साधने जसे की अँटीव्हायरस आणि एंडपॉइंट डिटेक्शन आणि प्रतिसाद वापरकर्त्याच्या रूटकिटद्वारे ते 'संक्रमित' नाहीत याची खात्री करण्यासाठी स्थिरपणे लिंक करणे आवश्यक आहे."

एकदा Symbiote चा संसर्ग झाला सर्व चालू प्रक्रिया, क्रेडेन्शियल्स काढण्याच्या क्षमतेसह अटॅक रूटकिट कार्यक्षमता प्रदान करते आणि दूरस्थ प्रवेश क्षमता.

Symbiote चा एक मनोरंजक तांत्रिक पैलू म्हणजे त्याची बर्कले पॅकेट फिल्टर (BPF) निवड कार्यक्षमता. BPF वापरणारा Symbiote हा लिनक्सचा पहिला मालवेअर नाही. उदाहरणार्थ, समीकरण गटाला श्रेय दिलेला प्रगत मागील दरवाजा गुप्त संप्रेषणासाठी BPF वापरतो. तथापि, संक्रमित मशीनवर दुर्भावनापूर्ण नेटवर्क ट्रॅफिक लपवण्यासाठी Symbiote BPF वापरते.

जेव्हा प्रशासक संक्रमित मशीनवर पॅकेट कॅप्चर टूल सुरू करतो, तेव्हा BPF बायकोड कर्नलमध्ये इंजेक्ट केले जाते जे कॅप्चर करण्यासाठी पॅकेट्स परिभाषित करते. या प्रक्रियेत, Symbiote प्रथम त्याचा बाईटेकोड जोडते जेणेकरून ते नेटवर्क रहदारी फिल्टर करू शकते जे तुम्हाला पॅकेट कॅप्चर सॉफ्टवेअरने पहावे असे वाटत नाही.

Symbiote विविध तंत्रांचा वापर करून तुमची नेटवर्क क्रियाकलाप देखील लपवू शकते. हे कव्हर मालवेअरला क्रेडेन्शियल्स मिळवण्यासाठी आणि धमकी देणार्‍या अभिनेत्याला दूरस्थ प्रवेश प्रदान करण्यासाठी योग्य आहे.

हे शोधणे इतके अवघड का आहे हे संशोधक स्पष्ट करतात:

मालवेअरने मशीनला संक्रमित केल्यानंतर, आक्रमणकर्त्याद्वारे वापरल्या जाणार्‍या इतर मालवेअरसह ते स्वतःला लपवते, ज्यामुळे संक्रमण शोधणे खूप कठीण होते. संक्रमित मशीनचे थेट फॉरेन्सिक स्कॅन काहीही प्रकट करू शकत नाही, कारण मालवेअर सर्व फाइल्स, प्रक्रिया आणि नेटवर्क आर्टिफॅक्ट लपवतो. रूटकिट क्षमतेव्यतिरिक्त, मालवेअर एक बॅकडोअर प्रदान करतो जो धमकी देणार्‍या अभिनेत्याला हार्डकोड पासवर्डसह मशीनवर कोणत्याही वापरकर्त्याच्या रूपात लॉग इन करण्यास आणि सर्वोच्च विशेषाधिकारांसह कमांड कार्यान्वित करण्यास अनुमती देतो.

ते अत्यंत मायावी असल्याने, सिम्बायोट संसर्ग "रडारच्या खाली उडण्याची" शक्यता असते. आमच्या तपासणीद्वारे, सिम्बायोटचा वापर अत्यंत लक्ष्यित किंवा मोठ्या प्रमाणात हल्ल्यांमध्ये होतो की नाही हे निर्धारित करण्यासाठी आम्हाला पुरेसे पुरावे मिळाले नाहीत.

शेवटी आपल्याला त्याबद्दल अधिक जाणून घेण्यात स्वारस्य असल्यास, आपण मधील तपशील तपासू शकता खालील दुवा.