Symbiote ze złośliwym oprogramowaniem dla systemu Linux, które wykorzystuje zaawansowane techniki do ukrywania i kradzieży danych uwierzytelniających

Darkcrizt

4 minut

Wielu użytkowników systemów operacyjnych opartych o Linux często ma błędne przekonanie, że „w Linuksie nie ma wirusów” a nawet przytaczają większe bezpieczeństwo, aby uzasadnić swoją miłość do wybranej dystrybucji, a powód tej myśli jest jasny, ponieważ wiedza o „wirusie” w Linuksie jest, że tak powiem, „tabu”…

I na przestrzeni lat to się zmieniło., ponieważ wiadomości o wykryciu złośliwego oprogramowania w systemie Linux zaczęły coraz częściej i bardziej słyszeć o tym, jak wyrafinowane stają się one, aby móc ukrywać się, a przede wszystkim utrzymywać swoją obecność w zainfekowanym systemie.

A fakt mówienia o tym jest taki, że kilka dni temu odkryto formę złośliwego oprogramowania a interesujące jest to, że infekuje systemy Linux i wykorzystuje wyrafinowane techniki do ukrywania i kradzieży danych uwierzytelniających.

Personel, który odkrył to złośliwe oprogramowanie, to: Badacze BlackBerry, których nazywają „Symbiotem”, Wcześniej niewykrywalny, działa pasożytniczo, ponieważ musi infekować inne uruchomione procesy, aby wyrządzić szkody zainfekowanym maszynom.

Symbiote, wykryty po raz pierwszy w listopadzie 2021 r., został pierwotnie napisany z myślą o sektorze finansowym w Ameryce Łacińskiej. Po udanej infekcji Symbiote ukrywa się i wszelkie inne wdrożone złośliwe oprogramowanie, co utrudnia wykrycie infekcji.

Złośliwe oprogramowanie atakowanie systemów Linux nie jest niczym nowym, ale podstępne techniki stosowane przez Symbiote wyróżniają go. Linker ładuje złośliwe oprogramowanie za pomocą dyrektywy LD_PRELOAD, pozwalając mu załadować się przed jakimikolwiek innymi współdzielonymi obiektami. Ponieważ jest ładowany jako pierwszy, może „przejąć import” innych plików bibliotek załadowanych dla aplikacji. Symbiote używa tego, aby ukryć swoją obecność na maszynie.

„Ponieważ złośliwe oprogramowanie działa jako rootkit na poziomie użytkownika, wykrycie infekcji może być trudne” – podsumowują naukowcy. „Telemetria sieciowa może być wykorzystywana do wykrywania nietypowych żądań DNS, a narzędzia zabezpieczające, takie jak wykrywanie i odpowiedzi antywirusowe i punkty końcowe, muszą być połączone statycznie, aby mieć pewność, że nie zostaną „zainfekowane” przez rootkity użytkownika”.

Gdy Symbiote zostanie zainfekowany wszystkie uruchomione procesy, zapewnia funkcjonalność atakującego rootkita z możliwością zbierania danych uwierzytelniających oraz możliwość zdalnego dostępu.

Interesującym aspektem technicznym Symbiote jest funkcja wyboru Berkeley Packet Filter (BPF). Symbiote nie jest pierwszym złośliwym oprogramowaniem dla Linuksa, które używa BPF. Na przykład zaawansowany backdoor przypisywany grupie Equation wykorzystywał BPF do tajnej komunikacji. Jednak Symbiote używa BPF do ukrywania złośliwego ruchu sieciowego na zainfekowanej maszynie.

Gdy administrator uruchamia narzędzie do przechwytywania pakietów na zainfekowanej maszynie, kod bajtowy BPF jest wstrzykiwany do jądra, które definiuje pakiety do przechwycenia. W tym procesie Symbiote najpierw dodaje swój kod bajtowy, aby mógł filtrować ruch sieciowy, którego nie powinno widzieć oprogramowanie do przechwytywania pakietów.

Symbiote może również ukrywać Twoją aktywność w sieci za pomocą różnych technik. Ta osłona jest idealna, aby umożliwić złośliwemu oprogramowaniu uzyskanie poświadczeń i zapewnić zdalny dostęp do cyberprzestępcy.

Naukowcy wyjaśniają, dlaczego tak trudno go wykryć:

​​Po zainfekowaniu maszyny przez złośliwe oprogramowanie ukrywa się wraz z każdym innym złośliwym oprogramowaniem wykorzystywanym przez atakującego, co bardzo utrudnia wykrycie infekcji. Skanowanie śledcze na żywo zainfekowanej maszyny może niczego nie ujawnić, ponieważ złośliwe oprogramowanie ukrywa wszystkie pliki, procesy i artefakty sieciowe. Oprócz możliwości rootkita, złośliwe oprogramowanie zapewnia backdoora, który umożliwia cyberprzestępcy zalogowanie się jako dowolny użytkownik na komputerze za pomocą zakodowanego hasła i wykonywanie poleceń z najwyższymi uprawnieniami.

Ponieważ jest niezwykle nieuchwytna, infekcja Symbiote prawdopodobnie „przeleci pod radarem”. Dzięki naszemu śledztwu nie znaleźliśmy wystarczających dowodów, aby ustalić, czy Symbiote jest używany w wysoce ukierunkowanych lub atakach na dużą skalę.

W końcu jeśli chcesz dowiedzieć się więcej na ten temat, możesz sprawdzić szczegóły w następujący link.


Zostaw swój komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *

*

*

  1. Odpowiedzialny za dane: Miguel Ángel Gatón
  2. Cel danych: kontrola spamu, zarządzanie komentarzami.
  3. Legitymacja: Twoja zgoda
  4. Przekazywanie danych: Dane nie będą przekazywane stronom trzecim, z wyjątkiem obowiązku prawnego.
  5. Przechowywanie danych: baza danych hostowana przez Occentus Networks (UE)
  6. Prawa: w dowolnym momencie możesz ograniczyć, odzyskać i usunąć swoje dane.

  1.   Nowicjusz powiedział
    temu 2 roku

    Jak zawsze, kolejne „zagrożenie” dla GNU/Linuksa, że ​​nie mówią, w jaki sposób jest instalowany w celu zainfekowania systemu hosta

    Odpowiedz nowicjuszowi
  2.   Nowicjusz powiedział
    temu 2 roku

    Jak zawsze, kolejne „zagrożenie” dla GNU/Linuksa, w którym odkrywcy nie wyjaśniają, w jaki sposób system hosta jest zainfekowany złośliwym oprogramowaniem

    Odpowiedz nowicjuszowi
    1.    darkcrizt powiedział
      temu 2 roku

      Witam, jeśli chodzi o to, co mówisz, każde odkrycie błędu lub luki w zabezpieczeniach ma proces ujawniania od momentu ujawnienia, poinformowania dewelopera lub projektu, przyznania okresu karencji na jego rozwiązanie, ujawnienia wiadomości i wreszcie, w razie potrzeby , zostanie opublikowany xploit lub metoda demonstrująca awarię.

      Odpowiedz Darkcrizt