Els investigadors d'Intezer i BlackBerry van donar a conèixer recentment que han descobert un malware amb nom en codi "Simbiòte", que es caracteritza per ser usat per injectar portes del darrere i rootkits en servidors Linux compromesos.
Aquest programari maliciós es va trobar en els sistemes d'institucions financeres a diversos països d'Amèrica Llatina. Una característica de Symbiote és la distribució en forma de biblioteca compartida, que es carrega durant l'inici de tots els processos utilitzant el mecanisme LD_PRELOAD i reemplaça algunes trucades a la biblioteca estàndard.
El que diferencia Symbiote d'altres programes maliciosos de Linux amb què ens trobem habitualment és que necessita infectar altres processos en execució per infligir danys als equips infectats.
En lloc de ser un fitxer executable independent que s'executa per infectar una màquina, és una biblioteca d'objectes compartits (SO) que es carrega a tots els processos en execució mitjançant LD_PRELOAD (T1574.006) i infecta la màquina de forma parasitària. Un cop heu infectat tots els processos en execució, proporciona a l'actor d'amenaces la funcionalitat de rootkit, la capacitat de recopilar credencials i la capacitat d'accés remot.
Per poder aconseguir instal·lar Symbiote un sistema d'ONU, un atacant ha de tenir accés root, el qual es pot obtenir, per exemple, com a resultat de l'explotació de vulnerabilitats sense pegats o de la filtració de comptes. Symbiote permet a l'atacant poder assegurar la seva presència al sistema després de la pirateria per fer més atacs, amagar l'activitat d'altres aplicacions malicioses i organitzar la intercepció de dades confidencials.
La nostra detecció més primerenca de Symbiote és de novembre de 2021, i sembla haver estat escrit per apuntar al sector financer a Amèrica Llatina . Quan el malware ha infectat una màquina, s'amaga a si mateix ia qualsevol altre malware utilitzat per l'actor d'amenaces, cosa que fa que les infeccions siguin molt difícils de detectar. És possible que la realització d'anàlisis forenses en viu en una màquina infectada no reveli res, ja que el codi maliciós oculta tots els arxius, processos i artefactes de la xarxa. A més de la capacitat de rootkit, el codi maliciós proporciona una porta del darrere perquè l'actor d'amenaces iniciï sessió com qualsevol usuari a la màquina amb una contrasenya codificada i executi ordres amb els privilegis més alts.
Els controladors de trucades falsificats amaguen l'activitat relacionada amb la porta del darrere, com excloure elements individuals a la llista de processos, bloquejar l'accés a certs fitxers a /proc, amagar fitxers en directoris, excloure una biblioteca compartida maliciosa de la sortida ldd (la funció execve s'intercepta i les trucades són analitzats amb una variable d'entorn LD_TRACE_LOADED_OBJECTS) no mostren sockets de xarxa associats amb activitat maliciosa.
Simbiot també permet eludir alguns analitzadors d'activitat al sistema de fitxers, ja que el robatori de dades confidencials es pot dur a terme no al nivell d'obrir fitxers, sinó interceptant operacions de lectura d'aquests fitxers en aplicacions legítimes (per exemple, substitució de biblioteca funcions us permet interceptar l'entrada de l'usuari d'una contrasenya o fitxers carregats des d'un fitxer clau d'accés a dades).
Atès que és extremadament evasiu, és probable que una infecció de Symbiote «vol per sota del radar». A la nostra investigació, no hem trobat prou evidència per determinar si Symbiote s'està utilitzant en atacs amplis o altament dirigits.
Per organitzar l'inici de sessió remot, Symbiote intercepta algunes trucades PAM (Mòdul d'autenticació connectable), la qual cosa us permet connectar-vos al sistema a través de SSH amb certes credencials d'atac. També hi ha una opció oculta per elevar els vostres privilegis a root configurant la variable d'entorn HTTP_SETTHIS.
Per protegir-vos contra la inspecció del trànsit, les funcions de la biblioteca libpcap es redefineixen, es filtra la lectura de /proc/net/tcp i s'insereix codi addicional als programes BPF carregats al nucli.
Finalment si estàs interessat en poder conèixer més a l'respecte sobre la nota, pots consultar l'article original al següent enllaç.