Mulți dintre utilizatori a sistemelor de operare bazate pe Linux are adesea o concepție greșită că „în Linux nu există viruși” și chiar citează o securitate mai mare pentru a-și justifica dragostea pentru distribuția aleasă, iar motivul gândului este clar, deoarece a ști despre un „virus” în Linux este ca să spunem așa un „tabu”...
Și de-a lungul anilor, acest lucru s-a schimbat., din moment ce știrile despre detectările de malware în Linux au început să sune mai des și mai mult despre cât de sofisticați devin să își poată ascunde și mai ales să își mențină prezența în sistemul infectat.
Iar faptul de a vorbi despre asta se datorează faptului că acum câteva zile a fost descoperită o formă de malware iar lucrul interesant este că infectează sistemele Linux și folosește tehnici sofisticate pentru a ascunde și a fura acreditările.
Personalul care a descoperit acest malware a fost Cercetătorii BlackBerry și pe care îi numesc drept „Symbiote”, Anterior nedetectabil, acționează parazit, deoarece trebuie să infecteze alte procese care rulează pentru a provoca daune mașinilor infectate.
Simbiot, detectat pentru prima dată în noiembrie 2021, a fost scris inițial pentru a viza sectorul financiar din America Latină. La o infecție cu succes, Symbiote se ascunde pe sine și orice alt malware instalat, ceea ce face dificilă detectarea infecțiilor.
Programe malware țintirea sistemelor Linux nu este nouă, dar tehnicile ascunse folosite de Symbiote îl fac să iasă în evidență. Linkerul încarcă malware-ul prin directiva LD_PRELOAD, permițându-i să se încarce înaintea oricăror alte obiecte partajate. Deoarece este încărcat primul, poate „deturna importurile” celorlalte fișiere de bibliotecă încărcate pentru aplicație. Symbiote folosește acest lucru pentru a-și ascunde prezența pe mașină.
„Deoarece malware-ul funcționează ca un rootkit la nivel de utilizator, detectarea unei infecții poate fi dificilă”, concluzionează cercetătorii. „Telemetria rețelei poate fi utilizată pentru a detecta solicitările DNS anormale, iar instrumentele de securitate, cum ar fi antivirusul și detectarea și răspunsul la punctele finale, trebuie să fie legate static pentru a se asigura că nu sunt „infectate” de rootkit-urile utilizatorilor.”
Odată ce Symbiote s-a infectat toate procesele care rulează, oferă funcționalitate rootkit de atac cu capacitatea de a colecta acreditări și capacitatea de acces la distanță.
Un aspect tehnic interesant al Symbiote este funcționalitatea de selecție a filtrului de pachete Berkeley (BPF). Symbiote nu este primul malware Linux care folosește BPF. De exemplu, un backdoor avansat atribuit grupului Equation a folosit BPF pentru comunicații ascunse. Cu toate acestea, Symbiote folosește BPF pentru a ascunde traficul de rețea rău intenționat pe o mașină infectată.
Când un administrator pornește un instrument de capturare a pachetelor pe mașina infectată, codul de octet BPF este injectat în nucleul care definește pachetele care urmează să fie capturate. În acest proces, Symbiote adaugă mai întâi codul de octeți, astfel încât să poată filtra traficul de rețea pe care nu doriți să-l vadă software-ul de captare a pachetelor.
De asemenea, Symbiote vă poate ascunde activitatea în rețea folosind diverse tehnici. Această acoperire este perfectă pentru a permite malware-ului să obțină acreditări și să ofere acces de la distanță actorului amenințării.
Cercetătorii explică de ce este atât de dificil de detectat:
Odată ce malware-ul a infectat o mașină, acesta se ascunde, împreună cu orice alt malware folosit de atacator, făcând infecțiile foarte dificil de detectat. O scanare criminalistică în direct a unei mașini infectate poate să nu dezvăluie nimic, deoarece malware-ul ascunde toate fișierele, procesele și artefactele de rețea. Pe lângă capacitatea de rootkit, malware-ul oferă o ușă din spate care permite actorului amenințării să se conecteze ca orice utilizator pe mașină cu o parolă codificată și să execute comenzi cu cele mai înalte privilegii.
Deoarece este extrem de evazivă, este posibil ca o infecție cu Symbiote să „zboare sub radar”. Prin investigația noastră, nu am găsit suficiente dovezi pentru a determina dacă Symbiote este utilizat în atacuri foarte țintite sau la scară largă.
În cele din urmă dacă sunteți interesat să aflați mai multe despre asta, puteți verifica detaliile în următorul link.
Ca întotdeauna, o altă „amenințare” pentru GNU/Linux că nu spun cum se instalează pentru a infecta sistemul gazdă
Ca întotdeauna, o altă „amenințare” la adresa GNU/Linux, unde descoperitorii nu explică modul în care sistemul gazdă este infectat cu malware
Buna ziua, referitor la ceea ce spuneti, fiecare descoperire de bug sau vulnerabilitate are un proces de dezvaluire din momentul in care este dezvaluita, dezvoltatorul sau proiectul este informat, se acorda un termen de gratie pentru ca acesta sa fie rezolvat, se dezvaluie noutatile si in final, daca se doreste , xploit-ul sau metoda care demonstrează eșecul este publicată.