Många av användarna av operativsystem baserade på Linux har ofta en missuppfattning att "i Linux finns det inga virus" och de citerar till och med större säkerhet för att motivera sin kärlek till den valda distributionen och anledningen till tanken är tydlig, eftersom att veta om ett "virus" i Linux är så att säga ett "tabu"...
Och genom åren har detta förändrats., sedan nyheten om upptäckt av skadlig programvara i Linux har börjat låta oftare och mer om hur sofistikerade de blir för att kunna dölja och framför allt behålla sin närvaro i det infekterade systemet.
Och faktumet att prata om detta beror på för några dagar sedan upptäcktes en form av skadlig programvara och det intressanta är att det infekterar Linux-system och använder sofistikerade tekniker för att dölja och stjäla referenser.
Personalen som upptäckte denna skadliga programvara var BlackBerry-forskare och som de namnger som "Symbiote", Tidigare omöjlig att upptäcka, fungerar den parasitisk eftersom den behöver infektera andra pågående processer för att orsaka skada på infekterade maskiner.
Symbiot, upptäcktes först i november 2021, skrevs ursprungligen för att rikta in sig på finanssektorn i Latinamerika. Vid en framgångsrik infektion döljer Symbiote sig själv och all annan utplacerad skadlig programvara, vilket gör det svårt att upptäcka infektioner.
skadliga program Att rikta in sig på Linux-system är inte nytt, men de smygande teknikerna som används av Symbiote gör att det sticker ut. Länkaren laddar skadlig programvara via LD_PRELOAD-direktivet, vilket gör att den kan laddas före alla andra delade objekt. Eftersom den laddas först kan den "kapa importen" av de andra biblioteksfilerna som laddas för applikationen. Symbiote använder detta för att dölja sin närvaro på maskinen.
"Eftersom skadlig programvara fungerar som ett rootkit på användarnivå kan det vara svårt att upptäcka en infektion", avslutar forskarna. "Nätverkstelemetri kan användas för att upptäcka avvikande DNS-förfrågningar och säkerhetsverktyg som antivirus och slutpunktsdetektering och svar måste vara statiskt länkade för att säkerställa att de inte "infekteras" av användarens rootkits."
När Symbiote har infekterat alla pågående processer, ger attackerande rootkit-funktionalitet med möjligheten att samla in referenser och fjärråtkomst.
En intressant teknisk aspekt av Symbiote är dess Berkeley Packet Filter (BPF) valfunktion. Symbiote är inte den första Linux-skadliga programvaran som använder BPF. Till exempel använde en avancerad bakdörr tillskriven ekvationsgruppen BPF för hemlig kommunikation. Symbiote använder dock BPF för att dölja skadlig nätverkstrafik på en infekterad maskin.
När en administratör startar ett paketinsamlingsverktyg på den infekterade maskinen, injiceras BPF-bytekod i kärnan som definierar paketen som ska fångas. I den här processen lägger Symbiote först till sin bytekod så att den kan filtrera nätverkstrafik som du inte vill att programvara för paketfångning ska se.
Symbiote kan också dölja din nätverksaktivitet med hjälp av olika tekniker. Det här omslaget är perfekt för att tillåta skadlig programvara att få inloggningsuppgifter och ge fjärråtkomst till hotaktören.
Forskarna förklarar varför det är så svårt att upptäcka:
När skadlig programvara har infekterat en maskin döljer den sig själv, tillsammans med all annan skadlig programvara som angriparen använder, vilket gör infektioner mycket svåra att upptäcka. En kriminalteknisk genomsökning av en infekterad maskin kanske inte avslöjar någonting, eftersom skadlig programvara döljer alla filer, processer och nätverksartefakter. Utöver rootkit-kapaciteten ger skadlig programvara en bakdörr som gör att hotaktören kan logga in som vilken användare som helst på maskinen med ett hårdkodat lösenord och utföra kommandon med högsta behörighet.
Eftersom det är extremt svårfångat, är det troligt att en Symbiotinfektion "flyger under radarn". Genom vår undersökning hittade vi inte tillräckligt med bevis för att avgöra om Symbiote används i mycket riktade eller storskaliga attacker.
Slutligen om du är intresserad av att veta mer om detkan du kontrollera detaljerna i följande länk.
Som alltid, ytterligare ett "hot" för GNU/Linux att de inte säger hur det installeras för att infektera värdsystemet
Som alltid, ytterligare ett "hot" mot GNU/Linux där upptäckarna inte förklarar hur värdsystemet är infekterat med skadlig programvara
Hej, angående vad du säger, varje bugg eller sårbarhetsupptäckt har en avslöjandeprocess från det ögonblick det avslöjas, utvecklaren eller projektet informeras, en frist ges för att det ska lösas, nyheterna avslöjas och slutligen, om så önskas , publiceras xploit eller metod som visar felet.