Symbiote – шкідливе програмне забезпечення Linux, яке використовує складні методи для приховування та крадіжки облікових даних

Багато користувачів операційних систем на основі Linux часто помиляється, що «в Linux немає вірусів» і вони навіть посилаються на більшу безпеку, щоб виправдати свою любов до обраного дистрибутива, і причина такої думки зрозуміла, оскільки знати про «вірус» у Linux, так би мовити, «табу»…

І з роками це змінилося., оскільки новини про виявлення шкідливих програм у Linux почали звучати все частіше і частіше про те, наскільки складними вони стають, щоб мати можливість приховати та, перш за все, зберегти свою присутність у зараженій системі.

І факт розмови про це тому кілька днів тому було виявлено зловмисне програмне забезпечення і найцікавіше те, що він заражає системи Linux і використовує складні методи для приховування та крадіжки облікових даних.

Персонал, який виявив це зловмисне програмне забезпечення, був Дослідники BlackBerry, які вони називають «Симбіот», Раніше його не можна було виявити, він діє як паразит, оскільки йому потрібно заражати інші запущені процеси, щоб завдати шкоди зараженим машинам.

Симбіот, вперше виявлений у листопаді 2021 року, спочатку був написаний для фінансового сектора Латинської Америки. Після успішного зараження Symbiote приховує себе та будь-яке інше розгорнуте шкідливе програмне забезпечення, що ускладнює виявлення заражень.

Зловмисне програмне забезпечення орієнтація на системи Linux не нова, але приховані методи, які використовує Symbiote, виділяють його. Компонувальник завантажує шкідливе програмне забезпечення за допомогою директиви LD_PRELOAD, дозволяючи йому завантажуватися перед будь-якими іншими спільними об’єктами. Оскільки він завантажується першим, він може «зловити імпорт» інших файлів бібліотеки, завантажених для програми. Symbiote використовує це, щоб приховати свою присутність на машині.

«Оскільки зловмисне програмне забезпечення працює як руткіт на рівні користувача, виявити зараження може бути складно», — підсумовують дослідники. «Мережева телеметрія може використовуватися для виявлення аномальних запитів DNS, а інструменти безпеки, такі як антивірус і виявлення кінцевих точок і відповідь, повинні бути статично пов’язані, щоб гарантувати, що вони не «заражені» руткітами користувача».

Після того, як Symbiote заразився всі запущені процеси, забезпечує атакуючі функції руткіта з можливістю збирання облікових даних і можливість віддаленого доступу.

Цікавим технічним аспектом Symbiote є його функція вибору фільтра пакетів Berkeley (BPF). Symbiote — не перша шкідлива програма Linux, яка використовує BPF. Наприклад, розширений бекдор, який належить до групи Equation, використовував BPF для прихованого зв’язку. Однак Symbiote використовує BPF, щоб приховати шкідливий мережевий трафік на зараженій машині.

Коли адміністратор запускає інструмент захоплення пакетів на зараженій машині, байт-код BPF вводиться в ядро, яке визначає пакети, які потрібно захопити. У цьому процесі Symbiote спочатку додає свій байт-код, щоб він міг фільтрувати мережевий трафік, який ви не бажаєте бачити програмним забезпеченням захоплення пакетів.

Symbiote також може приховати вашу мережеву активність за допомогою різних методів. Ця обкладинка ідеально підходить для того, щоб зловмисному програмному забезпеченню отримувати облікові дані та надавати віддалений доступ до загрози.

Дослідники пояснюють, чому це так важко виявити:

Після того, як зловмисне програмне забезпечення заражає комп’ютер, воно ховається разом із будь-яким іншим шкідливим програмним забезпеченням, яке використовує зловмисник, що ускладнює виявлення зараження. Сканування зараженої машини в реальному часі може нічого не виявити, оскільки зловмисне програмне забезпечення приховує всі файли, процеси та мережеві артефакти. На додаток до можливостей руткіту, зловмисне програмне забезпечення забезпечує бекдор, який дозволяє загрозам увійти як будь-який користувач на машині з жорстко запрограмованим паролем і виконувати команди з найвищими привілеями.

Оскільки це надзвичайно невловимо, інфекція симбіотів, швидше за все, «пролітає під радаром». У ході нашого розслідування ми не знайшли достатньо доказів, щоб визначити, чи використовується Symbiote для високоцільових або великомасштабних атак.

В кінці кінців якщо вам цікаво дізнатись більше про це, ви можете перевірити деталі в наступне посилання.