The Intezer i BlackBerry istraživači objavili Nedavno otkrili su zlonamjerni softver s kodnim imenom "simbiot", za koju je karakteristično da se koristi za ubacivanje backdoorsa i rootkita u kompromitirane Linux poslužitelje.
Ovaj zlonamjerni softver pronađen je u sustavima financijskih institucija u nekoliko zemalja Latinske Amerike. Značajka Symbiotea je distribucija kao dijeljena biblioteka, koja se učitava tijekom pokretanja svih procesa pomoću mehanizma LD_PRELOAD i zamjenjuje neke pozive standardnoj biblioteci.
Ono što Symbiote izdvaja od ostalih Linux zlonamjernih programa s kojima se redovito susrećemo je to što mora zaraziti druge pokrenute procese kako bi nanio štetu zaraženim računalima.
Umjesto da bude samostalna izvršna datoteka koja se pokreće za zarazu stroja, to je biblioteka zajedničkih objekata (OS) koja se učitava u sve pokrenute procese putem LD_PRELOAD (T1574.006) i parazitski inficira stroj. Nakon što zarazi sve pokrenute procese, pruža akteru prijetnje funkcionalnost rootkita, mogućnost prikupljanja vjerodajnica i mogućnost daljinskog pristupa.
Da biste mogli instalirati Symbiote u sustavu, napadač mora imati root pristup, koji se može dobiti, na primjer, kao rezultat iskorištavanja nezakrpljenih ranjivosti ili hakiranja računa. simbiote omogućuje napadaču da osigura svoju prisutnost u sustavu nakon hakiranja izvršiti daljnje napade, sakriti aktivnost drugih zlonamjernih aplikacija i organizirati presretanje osjetljivih podataka.
Naše najranije otkrivanje Symbiotea je u studenom 2021., a čini se da je napisan da cilja financijski sektor u Latinskoj Americi. Nakon što zlonamjerni softver zarazi stroj, on skriva sebe i sve druge zlonamjerne programe koje koristi akter prijetnje, što otežava otkrivanje infekcija. Provođenje forenzike uživo na zaraženom računalu možda neće otkriti ništa jer zlonamjerni softver skriva sve datoteke, procese i mrežne artefakte. Uz mogućnost rootkita, zlonamjerni softver pruža backdoor za aktera prijetnje da se prijavi kao bilo koji korisnik na računalu s tvrdo kodiranom lozinkom i izvrši naredbe s najvišim privilegijama.
Lažni rukovatelji pozivima skrivaju aktivnost vezano za stražnja vrata, kao što je isključivanje pojedinačnih elemenata na popisu procesa, blokira pristup određenim datotekama u /proc, sakriti datoteke u direktorijima, isključiti zlonamjernu dijeljenu biblioteku iz ldd izlaza (funkcija execve je presretnuta i pozivi se raščlanjuju s varijablom okruženja LD_TRACE_LOADED_OBJECTS) ne pokazuju mrežne utičnice povezane sa zlonamjernom aktivnošću.
simbiot također omogućuje zaobilaženje nekih skenera aktivnosti datotečnog sustava, budući da se krađa osjetljivih podataka može izvesti ne na razini otvaranja datoteka, već presretanjem operacija čitanja tih datoteka u legitimnim aplikacijama (na primjer, funkcije zamjene knjižnice omogućuju vam da presretnete korisnički unos lozinke ili datoteke učitane iz podataka pristupna ključna datoteka).
Budući da je iznimno neuhvatljiva, infekcija Symbioteom vjerojatno će "letjeti ispod radara". U našoj istrazi nismo pronašli dovoljno dokaza da utvrdimo koristi li se Symbiote u širokim ili visoko ciljanim napadima.
Za organiziranje daljinske prijave, Symbiote presreće neke PAM pozive (Pluggable Authentication Module), koji vam omogućuje povezivanje sa sustavom putem SSH-a s određenim vjerodajnicama za napad. Postoji i skrivena opcija za podizanje svojih privilegija na root postavljanjem varijable okruženja HTTP_SETTHIS.
Radi zaštite od inspekcije prometa, funkcije knjižnice libpcap su redefinirane, čitanje /proc/net/tcp se filtrira, a dodatni kod se umeće u BPF programe učitane u kernel.
Konačno ako vas zanima više o tome o bilješci, možete pogledati izvorni članak u sljedeći link.