masse Intezer og BlackBerry forskere frigivet nylig de har opdaget en malware med kodenavn "symbiote", som er karakteriseret ved at blive brugt til at injicere bagdøre og rootkits i kompromitterede Linux-servere.
Denne ondsindede software det blev fundet i de finansielle institutioners systemer i flere latinamerikanske lande. En funktion ved Symbiote er distribution som et delt bibliotek, som indlæses under opstart af alle processer ved hjælp af LD_PRELOAD-mekanismen og erstatter nogle kald til standardbiblioteket.
Det, der adskiller Symbiote fra anden Linux-malware, vi jævnligt støder på, er, at den skal inficere andre kørende processer for at påføre skade på inficerede computere.
I stedet for at være en selvstændig eksekverbar fil, der køres for at inficere en maskine, er det et shared object (OS) bibliotek, der indlæses i alle kørende processer via LD_PRELOAD (T1574.006) og parasitisk inficerer maskinen. Når den først har inficeret alle kørende processer, giver den trusselsaktøren rootkit-funktionalitet, muligheden for at indsamle legitimationsoplysninger og fjernadgang.
For at kunne installere Symbiote i et system, en angriber skal have root-adgang, som for eksempel kan fås som følge af udnyttelse af uoprettede sårbarheder eller kontohacking. symbiote giver angriberen mulighed for at sikre sin tilstedeværelse i systemet efter hacket for at udføre yderligere angreb, skjule aktiviteten af andre ondsindede apps og sørge for aflytning af følsomme data.
Vores tidligste opdagelse af Symbiote er fra november 2021, og det ser ud til at være skrevet for at målrette den finansielle sektor i Latinamerika. Når først malware har inficeret en maskine, skjuler den sig selv og enhver anden malware, der bruges af trusselsaktøren, hvilket gør infektioner meget vanskelige at opdage. Udførelse af efterforskning i realtid på en inficeret maskine afslører muligvis ikke noget, da malwaren skjuler alle filer, processer og netværksartefakter. Ud over rootkit-kapaciteten giver malwaren en bagdør for trusselsaktøren til at logge ind som enhver bruger på maskinen med en hårdkodet adgangskode og udføre kommandoer med de højeste privilegier.
Forfalskede opkaldsbehandlere skjuler aktivitet relateret til bagdøren, såsom udelukkelse af enkelte elementer i proceslisten skal du blokere adgangen til bestemte filer i /proc, skjul filer i mapper, udelad et ondsindet delt bibliotek fra ldd-output (execve-funktionen opsnappes og opkald parses med en LD_TRACE_LOADED_OBJECTS miljøvariabel) viser ingen netværkssockets forbundet med ondsindet aktivitet.
symbiote gør det også muligt at omgå nogle filsystemaktivitetsscannere, da tyveri af følsomme data ikke kan udføres på niveau med åbning af filer, men ved at opsnappe læseoperationer af disse filer i legitime applikationer (for eksempel giver bibliotekserstatningsfunktioner dig mulighed for at opsnappe brugerinput af en adgangskode eller filer indlæst fra en data adgangsnøglefil).
Da det er ekstremt uhåndgribeligt, vil en Symbiote-infektion sandsynligvis "flyve under radaren." I vores undersøgelse har vi ikke fundet nok beviser til at afgøre, om Symbiote bliver brugt i brede eller meget målrettede angreb.
For at organisere fjernlogin, Symbiote opsnapper nogle PAM-opkald (Pluggable Authentication Module), som giver dig mulighed for at oprette forbindelse til systemet via SSH med visse angrebsoplysninger. Der er også en skjult mulighed for at hæve dine privilegier til root ved at indstille HTTP_SETTHIS miljøvariablen.
For at beskytte mod trafikinspektion omdefineres libpcap-biblioteksfunktioner, læsning af /proc/net/tcp filtreres, og yderligere kode indsættes i BPF-programmer indlæst i kernen.
Endelig hvis du er interesseret i at vide mere om det om noten, kan du konsultere den originale artikel i følgende link.