Многие пользователи операционных систем на базе У линуксов часто есть заблуждение, что "в линуксе нет вирусов" и даже большую безопасность приводят в оправдание своей любви к выбранному дистрибутиву и причина такой мысли понятна, так как знать про "вирус" в линуксе - это так сказать "табу"...
И с годами это изменилось., поскольку новости об обнаружении вредоносных программ в Linux стали звучать все чаще и чаще о том, насколько изощренными они становятся, чтобы иметь возможность скрывать и, прежде всего, поддерживать свое присутствие в зараженной системе.
А то, что об этом говорят, потому что несколько дней назад была обнаружена форма вредоносного ПО и что интересно, он заражает системы Linux и использует сложные методы для сокрытия и кражи учетных данных.
Персонал, обнаруживший это вредоносное ПО, был Исследователи BlackBerry и которую они называют «Symbiote», Ранее незаметный, он действует как паразит, поскольку ему необходимо заразить другие запущенные процессы, чтобы нанести ущерб зараженным машинам.
Симбиот, впервые обнаруженный в ноябре 2021 года. изначально был написан для финансового сектора Латинской Америки.. После успешного заражения Symbiote скрывает себя и любое другое развернутое вредоносное ПО, что затрудняет обнаружение заражения.
Вредоносное ПО Ориентация на системы Linux не нова, но скрытые методы, используемые Symbiote, выделяют его. Компоновщик загружает вредоносное ПО с помощью директивы LD_PRELOAD, что позволяет ему загружаться перед любыми другими общими объектами. Поскольку он загружается первым, он может «захватить импорт» других файлов библиотеки, загруженных для приложения. Symbiote использует это, чтобы скрыть свое присутствие на машине.
«Поскольку вредоносное ПО работает как руткит на уровне пользователя, обнаружение заражения может быть затруднено», — заключают исследователи. «Сетевая телеметрия может использоваться для обнаружения аномальных DNS-запросов, а инструменты безопасности, такие как антивирус и обнаружение конечных точек, и ответы должны быть статически связаны, чтобы гарантировать, что они не «заражены» пользовательскими руткитами».
Как только Symbiote заразил все запущенные процессы, обеспечивает атакующую функциональность руткита с возможностью сбора учетных данных и возможность удаленного доступа.
Интересным техническим аспектом Symbiote является функция выбора Berkeley Packet Filter (BPF). Symbiote — не первая вредоносная программа для Linux, использующая BPF. Например, продвинутый бэкдор, приписываемый группе Equation, использовал BPF для скрытой связи. Однако Symbiote использует BPF для сокрытия вредоносного сетевого трафика на зараженной машине.
Когда администратор запускает инструмент захвата пакетов на зараженной машине, байт-код BPF внедряется в ядро, которое определяет пакеты, которые необходимо захватить. В этом процессе Symbiote сначала добавляет свой байт-код, чтобы он мог фильтровать сетевой трафик, который вы не хотите видеть программным обеспечением для захвата пакетов.
Symbiote также может скрывать вашу сетевую активность, используя различные методы. Это покрытие идеально подходит для того, чтобы позволить вредоносному ПО получить учетные данные и предоставить удаленный доступ злоумышленнику.
Исследователи объясняют, почему его так трудно обнаружить:
После того как вредоносное ПО заразило машину, оно скрывает себя вместе с любым другим вредоносным ПО, используемым злоумышленником, что затрудняет обнаружение заражения. Криминалистическое сканирование зараженной машины в режиме реального времени может ничего не выявить, поскольку вредоносная программа скрывает все файлы, процессы и сетевые артефакты. В дополнение к возможностям руткита вредоносное ПО предоставляет бэкдор, который позволяет субъекту угрозы войти в систему как любой пользователь на компьютере с жестко заданным паролем и выполнять команды с самыми высокими привилегиями.
Поскольку заражение Symbiote крайне неуловимо, оно, скорее всего, «не заметит». В ходе нашего расследования мы не нашли достаточных доказательств, чтобы определить, используется ли Symbiote в узконаправленных или крупномасштабных атаках.
В конце концов если вам интересно узнать об этом больше, вы можете проверить подробности в по следующей ссылке.
Как всегда, еще одна «угроза» для GNU/Linux в том, что они не говорят, как он устанавливается, чтобы заразить хост-систему.
Как всегда, еще одна «угроза» для GNU/Linux, когда первооткрыватели не объясняют, как хост-система заражена вредоносным ПО.
Здравствуйте, относительно того, что вы говорите, у каждой обнаруженной ошибки или уязвимости есть процесс раскрытия с момента ее раскрытия, разработчик или проект информируется, дается льготный период для ее решения, раскрывается новость и, наконец, при желании , эксплойт или метод, демонстрирующий сбой, публикуется.