Лос Изследователите на Intezer и BlackBerry пуснаха наскоро те са открили зловреден софтуер с кодово име "симбиот", който се характеризира с това, че се използва за инжектиране на бекдори и руткити в компрометирани Linux сървъри.
Този злонамерен софтуер той е открит в системите на финансовите институции в няколко страни от Латинска Америка. Характеристика на Symbiote е разпространението като споделена библиотека, която се зарежда по време на стартиране на всички процеси с помощта на механизма LD_PRELOAD и замества някои извиквания към стандартната библиотека.
Това, което отличава Symbiote от другия зловреден софтуер на Linux, на който редовно се натъкваме, е, че той трябва да зарази други работещи процеси, за да нанесе щети на заразените компютри.
Вместо да бъде самостоятелен изпълним файл, който се изпълнява за заразяване на машина, това е библиотека за споделени обекти (OS), която се зарежда във всички работещи процеси чрез LD_PRELOAD (T1574.006) и паразитно заразява машината. След като зарази всички работещи процеси, той предоставя на заплахата руткит функционалност, възможност за събиране на идентификационни данни и възможност за отдалечен достъп.
За да можете да инсталирате Symbiote в система, нападателят трябва да има root достъп, които могат да бъдат получени например в резултат на използване на непокрити уязвимости или хакване на акаунт. симбиотe позволява на нападателя да осигури присъствието си в системата след хакване за извършване на допълнителни атаки, скриване на активността на други злонамерени приложения и организиране на прихващане на чувствителни данни.
Най-ранното ни откриване на Symbiote е от ноември 2021 г. и изглежда е написано, за да е насочено към финансовия сектор в Латинска Америка. След като злонамерен софтуер е заразил машина, той скрива себе си и всеки друг злонамерен софтуер, използван от заплахата, което прави инфекциите много трудни за откриване. Извършването на криминалистика на живо на заразена машина може да не разкрие нищо, тъй като зловредният софтуер крие всички файлове, процеси и мрежови артефакти. В допълнение към възможността за руткит, злонамереният софтуер осигурява бекдор за заплахата да влезе като всеки потребител на машината с твърдо кодирана парола и да изпълнява команди с най-високи привилегии.
Подправените манипулатори на повиквания скриват активността свързани със задната врата, като например изключването на отделни елементи в списъка с процеси блокирайте достъпа до определени файлове в /proc, скриване на файлове в директории, изключване на злонамерена споделена библиотека от изхода на ldd (функцията execve се прихваща и повикванията се анализират с променлива на средата LD_TRACE_LOADED_OBJECTS) не показват мрежови сокети, свързани със злонамерена активност.
симбионта също така позволява заобикаляне на някои скенери за активност на файловата система, тъй като кражбата на чувствителни данни може да се извърши не на нивото на отваряне на файлове, а чрез прихващане на операции за четене на тези файлове в легитимни приложения (например функциите за заместване на библиотеки ви позволяват да прихващате въвеждането на парола от потребителя или файлове, заредени от данни ключов файл за достъп).
Тъй като е изключително неуловим, инфекцията със симбиот вероятно ще „лети под радара“. В нашето разследване не открихме достатъчно доказателства, за да определим дали Symbiote се използва при широки или силно насочени атаки.
За да организирате дистанционно влизане, Symbiote прихваща някои PAM повиквания (Pluggable Authentication Module), който ви позволява да се свържете със системата чрез SSH с определени идентификационни данни за атака. Има също така скрита опция да повишите привилегиите си до root чрез задаване на променливата на средата HTTP_SETTHIS.
За да се предпази от проверка на трафика, функциите на библиотеката libpcap се предефинират, четенето на /proc/net/tcp се филтрира и допълнителен код се вмъква в BPF програми, заредени в ядрото.
Накрая ако се интересувате да научите повече за това относно бележката, можете да се консултирате с оригиналната статия в следваща връзка.