Symbiote um malware Linux que usa técnicas sofisticadas para ocultar e roubar credenciais

Darkcrizt

Minutos 4

Muitos dos usuários de sistemas operacionais baseados em Linux muitas vezes tem um equívoco de que "no Linux não há vírus" e ainda citam maior segurança para justificar seu amor pela distribuição escolhida e o motivo do pensamento é claro, já que saber de um “vírus” no Linux é por assim dizer um “tabu”…

E ao longo dos anos, isso mudou., uma vez que as notícias de detecções de malware no Linux começaram a soar com mais frequência e mais sobre o quão sofisticados eles se tornam para poder ocultar e, acima de tudo, manter sua presença no sistema infectado.

E o fato de falar sobre isso é porque alguns dias atrás, uma forma de malware foi descoberta e o interessante é que ele infecta sistemas Linux e usa técnicas sofisticadas para ocultar e roubar credenciais.

O pessoal que descobriu este malware foi o pesquisadores do BlackBerry e que eles chamam de "Symbiote", Anteriormente indetectável, ele age como parasita, pois precisa infectar outros processos em execução para causar danos às máquinas infectadas.

Symbiote, detectado pela primeira vez em novembro de 2021, foi escrito inicialmente para atingir o setor financeiro na América Latina. Após uma infecção bem-sucedida, o Symbiote oculta a si mesmo e a qualquer outro malware implantado, dificultando a detecção de infecções.

Malware direcionar os sistemas Linux não é novo, mas as técnicas furtivas usadas pelo Symbiote o destacam. O vinculador carrega o malware por meio da diretiva LD_PRELOAD, permitindo que ele seja carregado antes de qualquer outro objeto compartilhado. Como ele é carregado primeiro, ele pode "sequestrar as importações" dos outros arquivos de biblioteca carregados para o aplicativo. Symbiote usa isso para esconder sua presença na máquina.

“Como o malware funciona como um rootkit no nível do usuário, detectar uma infecção pode ser difícil”, concluem os pesquisadores. "A telemetria de rede pode ser usada para detectar solicitações anômalas de DNS e ferramentas de segurança, como antivírus e detecção e resposta de endpoint, devem ser vinculadas estaticamente para garantir que não sejam 'infectadas' por rootkits de usuários."

Uma vez que o Symbiote tenha infectado todos os processos em execução, fornece funcionalidade de rootkit de ataque com a capacidade de coletar credenciais e capacidade de acesso remoto.

Um aspecto técnico interessante do Symbiote é a funcionalidade de seleção do Berkeley Packet Filter (BPF). Symbiote não é o primeiro malware Linux a usar BPF. Por exemplo, um backdoor avançado atribuído ao grupo Equation usou o BPF para comunicações secretas. No entanto, o Symbiote usa o BPF para ocultar o tráfego de rede malicioso em uma máquina infectada.

Quando um administrador inicia uma ferramenta de captura de pacotes na máquina infectada, o bytecode BPF é injetado no kernel que define os pacotes a serem capturados. Nesse processo, o Symbiote primeiro adiciona seu bytecode para que possa filtrar o tráfego de rede que você não deseja que o software de captura de pacotes veja.

O Symbiote também pode ocultar sua atividade de rede usando várias técnicas. Essa capa é perfeita para permitir que malware obtenha credenciais e forneça acesso remoto ao agente da ameaça.

Os pesquisadores explicam por que é tão difícil de detectar:

​​Uma vez que o malware infectou uma máquina, ele se esconde, junto com qualquer outro malware usado pelo invasor, tornando as infecções muito difíceis de detectar. Uma verificação forense ao vivo de uma máquina infectada pode não revelar nada, pois o malware oculta todos os arquivos, processos e artefatos de rede. Além do recurso de rootkit, o malware fornece um backdoor que permite que o agente da ameaça faça login como qualquer usuário na máquina com uma senha codificada e execute comandos com os privilégios mais altos.

Como é extremamente evasivo, é provável que uma infecção por Symbiote "voe sob o radar". Em nossa investigação, não encontramos evidências suficientes para determinar se o Symbiote é usado em ataques altamente direcionados ou em grande escala.

Finalmente se você estiver interessado em saber mais sobre isso, você pode verificar os detalhes no link a seguir


Deixe um comentário

Seu endereço de email não será publicado. Campos obrigatórios são marcados com *

*

*

  1. Responsável pelos dados: Miguel Ángel Gatón
  2. Finalidade dos dados: Controle de SPAM, gerenciamento de comentários.
  3. Legitimação: Seu consentimento
  4. Comunicação de dados: Os dados não serão comunicados a terceiros, exceto por obrigação legal.
  5. Armazenamento de dados: banco de dados hospedado pela Occentus Networks (UE)
  6. Direitos: A qualquer momento você pode limitar, recuperar e excluir suas informações.

  1.   novato dito
    atrás Anos 2

    Como sempre, outra "ameaça" para GNU/Linux que eles não dizem como ele é instalado para infectar o sistema host

    Responder ao novato
  2.   novato dito
    atrás Anos 2

    Como sempre, outra “ameaça” ao GNU/Linux onde os descobridores não explicam como o sistema host está infectado com malware

    Responder ao novato
    1.    darkcrizt dito
      atrás Anos 2

      Olá, em relação ao que você diz, todo bug ou descoberta de vulnerabilidade tem um processo de divulgação a partir do momento em que é divulgado, o desenvolvedor ou projeto é informado, é dado um período de carência para que seja resolvido, a notícia é divulgada e finalmente, se desejar , o xploit ou método que demonstra a falha é publicado.

      Responder a Darkcrizt