Veliko uporabnikov operacijskih sistemov, ki temeljijo na Linux ima pogosto napačno prepričanje, da "v Linuxu ni virusov" in celo navajajo večjo varnost, da upravičijo svojo ljubezen do izbrane distribucije in razlog za misel je jasen, saj je poznavanje »virusa« v Linuxu tako rekoč »tabu« ...
In z leti se je to spremenilo., saj so novice o odkrivanju zlonamerne programske opreme v Linuxu začele vse pogosteje in bolj zveneti o tem, kako sofisticirani postanejo, da lahko skrijejo in predvsem ohranijo svojo prisotnost v okuženem sistemu.
In dejstvo, da se o tem govori, je zato pred nekaj dnevi je bila odkrita oblika zlonamerne programske opreme zanimivo pa je, da okuži sisteme Linux in uporablja sofisticirane tehnike za skrivanje in krajo poverilnic.
Osebje, ki je odkrilo to zlonamerno programsko opremo, je bilo Raziskovalci BlackBerryja in ki ga imenujejo "Symbiot", Prej ga ni bilo mogoče zaznati, deluje parazitsko, saj mora okužiti druge tekoče procese, da povzroči škodo na okuženih strojih.
Simbiot, prvič odkrit novembra 2021, je bil sprva napisan za ciljanje na finančni sektor v Latinski Ameriki. Po uspešni okužbi Symbiote skrije sebe in vso drugo nameščeno zlonamerno programsko opremo, zaradi česar je težko odkriti okužbe.
Zlonamerna programska oprema Ciljanje na sisteme Linux ni novo, vendar zaradi prikritih tehnik, ki jih uporablja Symbiote, izstopa. Povezovalec naloži zlonamerno programsko opremo prek direktive LD_PRELOAD, ki ji omogoča, da se naloži pred vsemi drugimi predmeti v skupni rabi. Ker se najprej naloži, lahko "ugrabi uvoz" drugih knjižničnih datotek, naloženih za aplikacijo. Symbiote to uporablja, da skrije svojo prisotnost na stroju.
"Ker zlonamerna programska oprema deluje kot rootkit na ravni uporabnika, je lahko odkrivanje okužbe težko," zaključujejo raziskovalci. "Omrežna telemetrija se lahko uporablja za odkrivanje nenavadnih zahtev DNS, varnostna orodja, kot so protivirusni programi ter zaznavanje in odziv končne točke, pa morajo biti statično povezana, da se zagotovi, da jih ne 'okužijo' uporabniški rootkiti."
Ko je Symbiote okužen vse tekoče procese, zagotavlja napadalno funkcionalnost rootkita z možnostjo zbiranja poverilnic in možnost oddaljenega dostopa.
Zanimiv tehnični vidik Symbiotea je njegova funkcija izbire paketnega filtra Berkeley (BPF). Symbiote ni prva zlonamerna programska oprema Linux, ki uporablja BPF. Na primer, napredna zadnja vrata, pripisana skupini Equation, je uporabljala BPF za prikrito komunikacijo. Vendar Symbiote uporablja BPF za skrivanje zlonamernega omrežnega prometa na okuženem računalniku.
Ko skrbnik zažene orodje za zajem paketov na okuženem računalniku, se bajtna koda BPF vbrizga v jedro, ki definira pakete, ki jih je treba zajeti. V tem procesu Symbiote najprej doda svojo bajtno kodo, da lahko filtrira omrežni promet, za katerega ne želite, da ga vidi programska oprema za zajemanje paketov.
Symbiote lahko tudi skrije vašo omrežno dejavnost z različnimi tehnikami. Ta pokrov je kot nalašč za omogočanje zlonamerne programske opreme, da pridobi poverilnice in zagotovi oddaljeni dostop do akterja grožnje.
Raziskovalci pojasnjujejo, zakaj ga je tako težko odkriti:
Ko zlonamerna programska oprema okuži stroj, se skrije skupaj z vso drugo zlonamerno programsko opremo, ki jo uporablja napadalec, zaradi česar je okužbe zelo težko odkriti. Forenzični pregled okuženega stroja v živo morda ne bo razkril ničesar, saj zlonamerna programska oprema skrije vse datoteke, procese in omrežne artefakte. Poleg zmožnosti rootkit-a zlonamerna programska oprema zagotavlja zaledna vrata, ki akterju grožnje omogoča, da se prijavi kot kateri koli uporabnik na računalniku s trdo kodiranim geslom in izvaja ukaze z najvišjimi privilegiji.
Ker je zelo neulovljiva, bo okužba s simbiotom verjetno "letela pod radar". Z našo preiskavo nismo našli dovolj dokazov, da bi ugotovili, ali se Symbiote uporablja pri zelo ciljno usmerjenih ali obsežnih napadih.
Končno če vas zanima več o tem, podrobnosti lahko preverite v naslednja povezava.
Kot vedno, še ena "grožnja" za GNU/Linux, da ne povedo, kako se namesti, da bi okužil gostiteljski sistem
Kot vedno, še ena "grožnja" za GNU/Linux, kjer odkritelji ne razložijo, kako je gostiteljski sistem okužen z zlonamerno programsko opremo
Pozdravljeni, glede tega, kar pravite, ima vsaka odkritje hrošča ali ranljivosti postopek razkritja od trenutka, ko je razkrit, razvijalec ali projekt je obveščen, je dano obdobje odloga za rešitev, novica se razkrije in končno, če želite , je objavljen xploit ali metoda, ki dokazuje napako.