Symbiote một phần mềm độc hại Linux sử dụng các kỹ thuật phức tạp để ẩn và đánh cắp thông tin đăng nhập

Darkcrizt

4 phút

Nhiều người dùng của hệ điều hành dựa trên Linux thường có một quan niệm sai lầm rằng "trong Linux không có virus" và họ thậm chí còn viện dẫn khả năng bảo mật cao hơn để biện minh cho tình yêu của họ đối với bản phân phối đã chọn và lý do của suy nghĩ này rất rõ ràng, vì biết về “vi-rút” trong Linux nên nói một điều “cấm kỵ”…

Và trong những năm qua, điều này đã thay đổi., kể từ khi tin tức về phát hiện phần mềm độc hại trong Linux bắt đầu xuất hiện thường xuyên hơn và nhiều hơn về mức độ phức tạp của chúng để có thể che giấu và trên hết là duy trì sự hiện diện của chúng trong hệ thống bị nhiễm.

Và thực tế khi nói về điều này là bởi vì một vài ngày trước, một dạng phần mềm độc hại đã được phát hiện và điều thú vị là nó lây nhiễm vào hệ thống Linux và sử dụng các kỹ thuật tinh vi để che giấu và đánh cắp thông tin đăng nhập.

Nhân viên đã phát hiện ra phần mềm độc hại này là Các nhà nghiên cứu BlackBerry và họ đặt tên là "Symbiote", Trước đây không thể phát hiện được, nó hoạt động ký sinh khi cần lây nhiễm các tiến trình đang chạy khác để gây ra thiệt hại cho các máy bị nhiễm.

Symbiote, được phát hiện lần đầu tiên vào tháng 2021 năm XNUMX, ban đầu được viết để nhắm mục tiêu vào lĩnh vực tài chính ở Mỹ Latinh. Sau khi lây nhiễm thành công, Symbiote tự ẩn mình và bất kỳ phần mềm độc hại nào đã triển khai khác, khiến việc phát hiện lây nhiễm trở nên khó khăn.

Phần mềm độc hại nhắm mục tiêu vào các hệ thống Linux không phải là mới, nhưng các kỹ thuật lén lút được sử dụng bởi Symbiote đã làm cho nó trở nên nổi bật. Trình liên kết tải phần mềm độc hại thông qua chỉ thị LD_PRELOAD, cho phép nó tải trước bất kỳ đối tượng được chia sẻ nào khác. Vì nó được tải trước nên nó có thể "chiếm quyền nhập" của các tệp thư viện khác được tải cho ứng dụng. Symbiote sử dụng điều này để ẩn sự hiện diện của nó trên máy.

Các nhà nghiên cứu kết luận: "Vì phần mềm độc hại hoạt động như một rootkit cấp người dùng, nên việc phát hiện ra sự lây nhiễm có thể khó khăn". "Đo từ xa mạng có thể được sử dụng để phát hiện các yêu cầu DNS bất thường và các công cụ bảo mật như chống vi-rút và phát hiện điểm cuối và phản hồi phải được liên kết tĩnh để đảm bảo chúng không bị 'lây nhiễm' bởi rootkit của người dùng."

Khi Symbiote đã bị nhiễm tất cả các quy trình đang chạy, cung cấp chức năng rootkit tấn công với khả năng thu thập thông tin đăng nhập và khả năng truy cập từ xa.

Một khía cạnh kỹ thuật thú vị của Symbiote là chức năng lựa chọn Bộ lọc gói Berkeley (BPF) của nó. Symbiote không phải là phần mềm độc hại Linux đầu tiên sử dụng BPF. Ví dụ, một cửa hậu nâng cao được quy cho nhóm Phương trình đã sử dụng BPF cho các giao tiếp bí mật. Tuy nhiên, Symbiote sử dụng BPF để ẩn lưu lượng mạng độc hại trên một máy bị nhiễm.

Khi quản trị viên khởi động công cụ chụp gói trên máy bị nhiễm, mã bytecode BPF sẽ được đưa vào hạt nhân để xác định các gói sẽ được bắt. Trong quá trình này, Symbiote đầu tiên thêm mã bytecode của nó để nó có thể lọc lưu lượng mạng mà bạn không muốn phần mềm chụp gói nhìn thấy.

Symbiote cũng có thể ẩn hoạt động mạng của bạn bằng nhiều kỹ thuật khác nhau. Vỏ bọc này hoàn hảo để cho phép phần mềm độc hại lấy thông tin đăng nhập và cung cấp quyền truy cập từ xa vào tác nhân đe dọa.

Các nhà nghiên cứu giải thích tại sao nó rất khó phát hiện:

Khi phần mềm độc hại đã lây nhiễm vào máy, nó sẽ ẩn mình cùng với bất kỳ phần mềm độc hại nào khác được kẻ tấn công sử dụng, khiến cho việc lây nhiễm rất khó phát hiện. Quá trình quét pháp y trực tiếp của một máy bị nhiễm bệnh có thể không tiết lộ bất kỳ điều gì, vì phần mềm độc hại ẩn tất cả các tệp, quy trình và cấu phần mạng. Ngoài khả năng rootkit, phần mềm độc hại còn cung cấp một cửa sau cho phép kẻ đe dọa đăng nhập với tư cách là bất kỳ người dùng nào trên máy bằng mật khẩu được mã hóa cứng và thực hiện các lệnh với đặc quyền cao nhất.

Vì nó cực kỳ khó nắm bắt, một sự lây nhiễm Symbiote có khả năng "bay dưới tầm ngắm". Qua cuộc điều tra, chúng tôi không tìm thấy đủ bằng chứng để xác định liệu Symbiote có được sử dụng trong các cuộc tấn công có mục tiêu cao hay quy mô lớn hay không.

Cuối cùng nếu bạn muốn biết thêm về nó, bạn có thể kiểm tra các chi tiết trong liên kết theo dõi.


Để lại bình luận của bạn

địa chỉ email của bạn sẽ không được công bố. Các trường bắt buộc được đánh dấu bằng *

*

*

  1. Chịu trách nhiệm về dữ liệu: Miguel Ángel Gatón
  2. Mục đích của dữ liệu: Kiểm soát SPAM, quản lý bình luận.
  3. Hợp pháp: Sự đồng ý của bạn
  4. Truyền thông dữ liệu: Dữ liệu sẽ không được thông báo cho các bên thứ ba trừ khi có nghĩa vụ pháp lý.
  5. Lưu trữ dữ liệu: Cơ sở dữ liệu do Occentus Networks (EU) lưu trữ
  6. Quyền: Bất cứ lúc nào bạn có thể giới hạn, khôi phục và xóa thông tin của mình.

  1.   người mới dijo
    trước 2 năm

    Như mọi khi, một "mối đe dọa" khác đối với GNU / Linux mà họ không cho biết nó được cài đặt như thế nào để lây nhiễm hệ thống máy chủ

    Trả lời người mới
  2.   người mới dijo
    trước 2 năm

    Như mọi khi, một “mối đe dọa” khác đối với GNU / Linux mà những người phát hiện ra không giải thích được cách hệ thống máy chủ bị nhiễm phần mềm độc hại

    Trả lời người mới
    1.    darkcrizt dijo
      trước 2 năm

      Xin chào, về những gì bạn nói, mọi phát hiện lỗi hoặc lỗ hổng đều có quy trình tiết lộ kể từ thời điểm nó được tiết lộ, nhà phát triển hoặc dự án được thông báo, thời gian gia hạn được đưa ra để giải quyết, tin tức được tiết lộ và cuối cùng, nếu muốn , xploit hoặc phương thức chứng minh lỗi đã được xuất bản.

      Trả lời Darkcrizt