Veel van de gebruikers van besturingssystemen gebaseerd op Linux heeft vaak een misvatting dat "er in Linux geen virussen zijn" en ze noemen zelfs meer veiligheid om hun liefde voor de gekozen distributie te rechtvaardigen en de reden voor de gedachte is duidelijk, aangezien het kennen van een "virus" in Linux om zo te zeggen een "taboe" is...
En in de loop der jaren is dit veranderd., omdat het nieuws over malwaredetecties in Linux steeds vaker begint te klinken over hoe geavanceerd ze worden om hun aanwezigheid in het geïnfecteerde systeem te verbergen en vooral te behouden.
En het feit om hierover te praten is omdat een paar dagen geleden is er een vorm van malware ontdekt en het interessante is dat het Linux-systemen infecteert en geavanceerde technieken gebruikt om inloggegevens te verbergen en te stelen.
Het personeel dat deze malware ontdekte, waren de BlackBerry-onderzoekers en die ze "Symbiote" noemen, Voorheen ondetecteerbaar, werkt het parasitair omdat het andere lopende processen moet infecteren om schade toe te brengen aan geïnfecteerde machines.
Symbiont, voor het eerst gedetecteerd in november 2021, werd oorspronkelijk geschreven om zich te richten op de financiële sector in Latijns-Amerika. Na een succesvolle infectie verbergt Symbiote zichzelf en alle andere geïmplementeerde malware, waardoor het moeilijk wordt om infecties te detecteren.
Malware het richten op Linux-systemen is niet nieuw, maar de onopvallende technieken die door Symbiote worden gebruikt, zorgen ervoor dat het opvalt. De linker laadt de malware via de LD_PRELOAD-richtlijn, waardoor deze vóór andere gedeelde objecten kan worden geladen. Omdat het eerst wordt geladen, kan het "de importen kapen" van de andere bibliotheekbestanden die voor de toepassing zijn geladen. Symbiote gebruikt dit om zijn aanwezigheid op de machine te verbergen.
"Omdat de malware werkt als een rootkit op gebruikersniveau, kan het detecteren van een infectie moeilijk zijn", concluderen de onderzoekers. "Netwerktelemetrie kan worden gebruikt om afwijkende DNS-verzoeken te detecteren en beveiligingstools zoals antivirus- en eindpuntdetectie en -respons moeten statisch worden gekoppeld om ervoor te zorgen dat ze niet worden 'geïnfecteerd' door rootkits van gebruikers."
Zodra Symbiote is geïnfecteerd alle lopende processen, biedt aanvallende rootkit-functionaliteit met de mogelijkheid om referenties te verzamelen en toegang op afstand mogelijk.
Een interessant technisch aspect van Symbiote is de Berkeley Packet Filter (BPF) selectiefunctionaliteit. Symbiote is niet de eerste Linux-malware die BPF gebruikt. Een geavanceerde achterdeur die aan de Equation-groep werd toegeschreven, gebruikte bijvoorbeeld de BPF voor geheime communicatie. Symbiote gebruikt echter BPF om kwaadaardig netwerkverkeer op een geïnfecteerde machine te verbergen.
Wanneer een beheerder een hulpprogramma voor het vastleggen van pakketten start op de geïnfecteerde machine, wordt BPF-bytecode in de kernel geïnjecteerd die de pakketten definieert die moeten worden vastgelegd. In dit proces voegt Symbiote eerst zijn bytecode toe, zodat het netwerkverkeer kan filteren waarvan je niet wilt dat pakketopnamesoftware het ziet.
Symbiote kan uw netwerkactiviteit ook verbergen met behulp van verschillende technieken. Deze dekking is perfect om malware in staat te stellen inloggegevens te verkrijgen en externe toegang te verlenen aan de dreigingsactor.
De onderzoekers leggen uit waarom het zo moeilijk te detecteren is:
Zodra malware een machine heeft geïnfecteerd, verbergt deze zichzelf, samen met andere malware die door de aanvaller wordt gebruikt, waardoor infecties erg moeilijk te detecteren zijn. Een live forensische scan van een geïnfecteerde machine onthult mogelijk niets, omdat de malware alle bestanden, processen en netwerkartefacten verbergt. Naast rootkit-mogelijkheden biedt de malware een achterdeur waarmee de dreigingsactor kan inloggen als elke gebruiker op de machine met een hardgecodeerd wachtwoord en opdrachten kan uitvoeren met de hoogste privileges.
Omdat het extreem ongrijpbaar is, zal een Symbiont-infectie waarschijnlijk "onder de radar vliegen". Tijdens ons onderzoek hebben we niet genoeg bewijs gevonden om te bepalen of Symbiote wordt gebruikt bij zeer gerichte of grootschalige aanvallen.
Eindelijk als u er meer over wilt wetenkunt u de details in het volgende link.
Zoals altijd, nog een "bedreiging" voor GNU/Linux waarvan ze niet zeggen hoe het wordt geïnstalleerd om het hostsysteem te infecteren
Zoals altijd, nog een "bedreiging" voor GNU/Linux waarbij de ontdekkers niet uitleggen hoe het hostsysteem is geïnfecteerd met malware
Hallo, met betrekking tot wat je zegt, elke ontdekking van een bug of kwetsbaarheid heeft een openbaarmakingsproces vanaf het moment dat het wordt onthuld, de ontwikkelaar of het project wordt geïnformeerd, er wordt een respijtperiode gegeven om het op te lossen, het nieuws wordt bekendgemaakt en tot slot, indien gewenst , de xploit of methode die de fout aantoont, wordt gepubliceerd.