Kullanıcıların çoğu dayalı işletim sistemlerinin Linux'ta genellikle "Linux'ta virüs yoktur" gibi bir yanılgı vardır. ve hatta seçilen dağıtıma olan sevgilerini haklı çıkarmak için daha fazla güvenlikten bahsediyorlar ve düşüncenin nedeni açık, çünkü Linux'ta bir "virüs" hakkında bilgi sahibi olmak tabiri caizse bir "tabu"...
Ve yıllar geçtikçe bu değişti., Linux'ta kötü amaçlı yazılım tespitlerine ilişkin haberler, bunların ne kadar karmaşık bir şekilde saklanabilecekleri ve hepsinden önemlisi virüslü sistemdeki varlıklarını sürdürebilecekleri hakkında daha sık ve daha fazla ses çıkarmaya başladı.
Ve bunun hakkında konuşmanın gerçeği, çünkü birkaç gün önce bir tür kötü amaçlı yazılım keşfedildi ve ilginç olan, Linux sistemlerine bulaşması ve kimlik bilgilerini gizlemek ve çalmak için karmaşık teknikler kullanmasıdır.
Bu kötü amaçlı yazılımı keşfeden personel, BlackBerry araştırmacıları ve "Symbiote" olarak adlandırdıkları, Daha önce saptanamayan bu virüs, virüslü makinelere zarar vermek için çalışan diğer işlemlere bulaşması gerektiğinden parazit gibi davranır.
Symbiote, ilk olarak Kasım 2021'de tespit edildi, başlangıçta Latin Amerika'daki finans sektörünü hedeflemek için yazılmıştır.. Başarılı bir enfeksiyondan sonra, Symbiote kendisini ve diğer dağıtılan kötü amaçlı yazılımları gizleyerek bulaşmaları tespit etmeyi zorlaştırır.
Kötü amaçlı yazılım Linux sistemlerini hedeflemek yeni değil, ancak Symbiote tarafından kullanılan gizli teknikler onu öne çıkarıyor. Bağlayıcı, kötü amaçlı yazılımı LD_PRELOAD yönergesi aracılığıyla yükler ve diğer paylaşılan nesnelerden önce yüklenmesine izin verir. Önce yüklendiğinden, uygulama için yüklenen diğer kitaplık dosyalarının "içe aktarmalarını ele geçirebilir". Symbiote bunu makinedeki varlığını gizlemek için kullanır.
Araştırmacılar, "Kötü amaçlı yazılım, kullanıcı düzeyinde bir rootkit olarak çalıştığından, bir enfeksiyonu tespit etmek zor olabilir," sonucuna varıyor. "Ağ telemetrisi, anormal DNS isteklerini tespit etmek için kullanılabilir ve antivirüs ve uç nokta tespiti gibi güvenlik araçları ve kullanıcı rootkit'leri tarafından 'bulaşmadıklarından' emin olmak için statik olarak bağlantılı olmalıdır."
Symbiote bulaştığında çalışan tüm süreçler, kimlik bilgilerini toplama yeteneği ile saldıran rootkit işlevselliği sağlar ve uzaktan erişim yeteneği.
Symbiote'un ilginç bir teknik yönü, Berkeley Paket Filtresi (BPF) seçim işlevidir. Symbiote, BPF'yi kullanan ilk Linux kötü amaçlı yazılımı değil. Örneğin, Denklem grubuna atfedilen gelişmiş bir arka kapı, gizli iletişim için BPF'yi kullandı. Ancak Symbiote, virüslü bir makinede kötü amaçlı ağ trafiğini gizlemek için BPF'yi kullanır.
Bir yönetici, virüslü makinede bir paket yakalama aracı başlattığında, yakalanacak paketleri tanımlayan çekirdeğe BPF bayt kodu enjekte edilir. Bu süreçte Symbiote, paket yakalama yazılımının görmesini istemediğiniz ağ trafiğini filtreleyebilmesi için önce kendi bayt kodunu ekler.
Symbiote, çeşitli teknikler kullanarak ağ etkinliğinizi de gizleyebilir. Bu kapak, kötü amaçlı yazılımın kimlik bilgilerini almasına izin vermek ve tehdit aktörüne uzaktan erişim sağlamak için mükemmeldir.
Araştırmacılar, tespit etmenin neden bu kadar zor olduğunu açıklıyor:
Kötü amaçlı yazılım bir makineye bulaştığında, saldırgan tarafından kullanılan diğer kötü amaçlı yazılımlarla birlikte kendini gizler ve bulaşmaların tespit edilmesini çok zorlaştırır. Kötü amaçlı yazılım tüm dosyaları, işlemleri ve ağ yapılarını gizlediğinden, virüslü bir makinenin canlı adli taraması hiçbir şeyi ortaya çıkarmayabilir. Kötü amaçlı yazılım, rootkit özelliğine ek olarak, tehdit aktörünün makinedeki herhangi bir kullanıcı olarak sabit kodlanmış bir parola ile oturum açmasına ve komutları en yüksek ayrıcalıklarla yürütmesine olanak tanıyan bir arka kapı sağlar.
Son derece zor olduğu için, bir Symbiote enfeksiyonunun "radarın altında uçması" muhtemeldir. Araştırmamız sonucunda, Symbiote'un yüksek oranda hedeflenmiş veya büyük ölçekli saldırılarda kullanılıp kullanılmadığını belirlemek için yeterli kanıt bulamadık.
Nihayet onun hakkında daha fazla bilgi edinmekle ilgileniyorsanayrıntılarını kontrol edebilirsiniz. aşağıdaki bağlantı.
Her zaman olduğu gibi, GNU/Linux için ana sisteme bulaşmak için nasıl kurulduğunu söylememeleri başka bir "tehdit".
Her zaman olduğu gibi, keşfedenlerin ana bilgisayar sistemine kötü amaçlı yazılım bulaştığını açıklamadığı GNU/Linux için başka bir “tehdit”
Merhabalar, söylediklerinizle ilgili olarak her bug veya zafiyet keşfinin ifşa edildiği, geliştirici veya projeye bildirildiği, çözülmesi için bir ek süre verildiği, haberin ifşa edildiği ve son olarak istenirse istenildiği andan itibaren bir ifşa süreci vardır. , başarısızlığı gösteren xploit veya yöntem yayınlanır.