Ο Οι ερευνητές της Intezer και της BlackBerry κυκλοφόρησαν πρόσφατα έχουν ανακαλύψει ένα κακόβουλο λογισμικό με κωδικό όνομα «συμβίωτος», το οποίο χαρακτηρίζεται από το ότι χρησιμοποιείται για την εισαγωγή backdoors και rootkits σε παραβιασμένους διακομιστές Linux.
Αυτό το κακόβουλο λογισμικό βρέθηκε στα συστήματα χρηματοπιστωτικών ιδρυμάτων σε αρκετές χώρες της Λατινικής Αμερικής. Ένα χαρακτηριστικό του Symbiote είναι η διανομή ως κοινόχρηστη βιβλιοθήκη, η οποία φορτώνεται κατά την εκκίνηση όλων των διεργασιών χρησιμοποιώντας τον μηχανισμό LD_PRELOAD και αντικαθιστά ορισμένες κλήσεις προς την τυπική βιβλιοθήκη.
Αυτό που ξεχωρίζει το Symbiote από άλλα κακόβουλα προγράμματα Linux που συναντάμε τακτικά είναι ότι πρέπει να μολύνει άλλες διεργασίες που εκτελούνται προκειμένου να προκαλέσει ζημιά σε μολυσμένους υπολογιστές.
Αντί να είναι ένα αυτόνομο εκτελέσιμο αρχείο που εκτελείται για να μολύνει έναν υπολογιστή, είναι μια βιβλιοθήκη κοινόχρηστου αντικειμένου (OS) που φορτώνεται σε όλες τις εκτελούμενες διεργασίες μέσω του LD_PRELOAD (T1574.006) και μολύνει παρασιτικά το μηχάνημα. Μόλις μολύνει όλες τις διεργασίες που εκτελούνται, παρέχει στον παράγοντα απειλής λειτουργικότητα rootkit, δυνατότητα συλλογής διαπιστευτηρίων και δυνατότητα απομακρυσμένης πρόσβασης.
Για να μπορείτε να εγκαταστήσετε το Symbiote σε ένα σύστημα, ένας εισβολέας πρέπει να έχει πρόσβαση root, το οποίο μπορεί να ληφθεί, για παράδειγμα, ως αποτέλεσμα της εκμετάλλευσης μη επιδιορθωμένων τρωτών σημείων ή της παραβίασης λογαριασμού. συμβίωσηΤο e επιτρέπει στον εισβολέα να εξασφαλίσει την παρουσία του στο σύστημα μετά την παραβίαση για να εκτελέσετε περαιτέρω επιθέσεις, να αποκρύψετε τη δραστηριότητα άλλων κακόβουλων εφαρμογών και να κανονίσετε την υποκλοπή ευαίσθητων δεδομένων.
Η πρώτη μας ανίχνευση του Symbiote είναι από τον Νοέμβριο του 2021 και φαίνεται ότι έχει γραφτεί για να στοχεύσει τον χρηματοπιστωτικό τομέα στη Λατινική Αμερική. Μόλις το κακόβουλο λογισμικό μολύνει ένα μηχάνημα, κρύβεται ο ίδιος και οποιοδήποτε άλλο κακόβουλο λογισμικό που χρησιμοποιείται από τον παράγοντα απειλής, καθιστώντας πολύ δύσκολο τον εντοπισμό των μολύνσεων. Η εκτέλεση ζωντανών εγκληματολογικών εξετάσεων σε ένα μολυσμένο μηχάνημα ενδέχεται να μην αποκαλύψει τίποτα, καθώς το κακόβουλο λογισμικό κρύβει όλα τα αρχεία, τις διαδικασίες και τα τεχνουργήματα δικτύου. Εκτός από τη δυνατότητα του rootkit, το κακόβουλο λογισμικό παρέχει μια κερκόπορτα για τον παράγοντα απειλής για να συνδεθεί ως οποιοσδήποτε χρήστης στο μηχάνημα με κωδικοποιημένο κωδικό πρόσβασης και να εκτελεί εντολές με τα υψηλότερα προνόμια.
Οι πλαστογραφημένοι χειριστές κλήσεων αποκρύπτουν τη δραστηριότητα που σχετίζονται με την πίσω πόρτα, όπως εξαίρεση μεμονωμένων στοιχείων στη λίστα διεργασιών, αποκλείστε την πρόσβαση σε ορισμένα αρχεία στο /proc, απόκρυψη αρχείων σε καταλόγους, εξαίρεση μιας κακόβουλης κοινόχρηστης βιβλιοθήκης από την έξοδο ldd (η συνάρτηση execve παρεμποδίζεται και οι κλήσεις αναλύονται με μια μεταβλητή περιβάλλοντος LD_TRACE_LOADED_OBJECTS) δεν εμφανίζουν υποδοχές δικτύου που να σχετίζονται με κακόβουλη δραστηριότητα.
Συμβιωτικός επιτρέπει επίσης την παράκαμψη ορισμένων σαρωτών δραστηριότητας συστήματος αρχείων, δεδομένου ότι η κλοπή ευαίσθητων δεδομένων μπορεί να πραγματοποιηθεί όχι στο επίπεδο ανοίγματος αρχείων, αλλά με την παρεμπόδιση των λειτουργιών ανάγνωσης αυτών των αρχείων σε νόμιμες εφαρμογές (για παράδειγμα, οι λειτουργίες αντικατάστασης βιβλιοθήκης σάς επιτρέπουν να υποκλέψετε την εισαγωγή κωδικού πρόσβασης από τον χρήστη ή αρχεία που έχουν φορτωθεί από δεδομένα αρχείο κλειδιού πρόσβασης).
Δεδομένου ότι είναι εξαιρετικά άπιαστο, μια μόλυνση Symbiote είναι πιθανό να "πετάξει κάτω από το ραντάρ". Στην έρευνά μας, δεν βρήκαμε αρκετά στοιχεία για να προσδιορίσουμε εάν το Symbiote χρησιμοποιείται σε ευρείες ή εξαιρετικά στοχευμένες επιθέσεις.
Για να οργανώσετε την απομακρυσμένη σύνδεση, Το Symbiote αναχαιτίζει ορισμένες κλήσεις PAM (Pluggable Authentication Module), η οποία σας επιτρέπει να συνδεθείτε στο σύστημα μέσω SSH με συγκεκριμένα διαπιστευτήρια επίθεσης. Υπάρχει επίσης μια κρυφή επιλογή για να αυξήσετε τα προνόμιά σας σε root ορίζοντας τη μεταβλητή περιβάλλοντος HTTP_SETTHIS.
Για προστασία από επιθεώρηση κυκλοφορίας, οι λειτουργίες της βιβλιοθήκης libpcap επανακαθορίζονται, η ανάγνωση του /proc/net/tcp φιλτράρεται και ο πρόσθετος κώδικας εισάγεται σε προγράμματα BPF που έχουν φορτωθεί στον πυρήνα.
Τελικά αν ενδιαφέρεστε να μάθετε περισσότερα γι 'αυτό σχετικά με τη σημείωση, μπορείτε να συμβουλευτείτε το αρχικό άρθρο στο παρακάτω σύνδεσμο.