Symbiote, Linux жүйесіне бэкдорлар мен руткиттер енгізуге мүмкіндік беретін зиянды бағдарлама

The Intezer және BlackBerry зерттеушілері шығарды жақында олар зиянды бағдарламаны тапты код атымен «симбиота», ол бұзылған Linux серверлеріне бэкдорлар мен руткиттер енгізу үшін қолданылуымен сипатталады.

Бұл зиянды бағдарламалық құрал ол бірнеше Латын Америкасы елдерінің қаржы институттарының жүйесінде табылды. Symbiote мүмкіндігі LD_PRELOAD механизмі арқылы барлық процестерді іске қосу кезінде жүктелетін және стандартты кітапханаға кейбір қоңырауларды ауыстыратын ортақ кітапхана ретінде тарату болып табылады.

Symbiote-ны біз жиі кездесетін басқа Linux зиянды бағдарламаларынан ерекшелендіретін нәрсе - ол вирус жұққан компьютерлерге зақым келтіру үшін басқа іске қосылған процестерді жұқтыруы қажет.

Құрылғыны жұқтыру үшін іске қосылатын оқшау орындалатын файлдың орнына, ол LD_PRELOAD (T1574.006) арқылы барлық іске қосылған процестерге жүктелетін және құрылғыны паразиттік түрде жұқтыратын ортақ нысан (OS) кітапханасы. Ол барлық жұмыс істеп тұрған процестерді жұқтырғаннан кейін, ол қауіпті акторға руткит функционалдығын, тіркелгі деректерін жинау мүмкіндігін және қашықтан қол жеткізу мүмкіндігін береді.

Symbiote орнату мүмкіндігіне ие болу үшін жүйеде, шабуылдаушының түбірлік рұқсаты болуы керек, мысалы, түзетілмеген осалдықтарды пайдалану немесе есептік жазбаны бұзу нәтижесінде алуға болады. симбиотe шабуылдаушыға оның жүйеде болуын қамтамасыз етуге мүмкіндік береді бұзудан кейін келесі шабуылдар жасау, басқа зиянды қолданбалардың әрекетін жасыру және құпия деректерді ұстауды ұйымдастыру.

Біздің Symbiote-ті ең ерте анықтауымыз 2021 жылдың қарашасында болды және ол Латын Америкасындағы қаржы секторын нысанаға алу үшін жазылған сияқты. Зиянды бағдарламалық құрал құрылғыны жұқтырғаннан кейін, ол өзін және қауіп-қатер жасаушы пайдаланатын кез келген басқа зиянды бағдарламаны жасырады, бұл инфекцияларды анықтауды қиындатады. Вирус жұққан құрылғыда тікелей криминалистикалық сараптаманы орындау ештеңені көрсетпеуі мүмкін, себебі зиянды бағдарлама барлық файлдарды, процестерді және желілік артефактілерді жасырады. Руткит мүмкіндігінен басқа, зиянды бағдарлама қауіп актерына қатты кодталған құпия сөзбен құрылғыдағы кез келген пайдаланушы ретінде кіру және ең жоғары артықшылықтарға ие пәрмендерді орындау үшін бэкдорды қамтамасыз етеді.

Жалған қоңырау өңдеушілер әрекетті жасырады жеке элементтерді қоспағанда, артқы есікке қатысты процестер тізімінде белгілі бір файлдарға кіруді блоктаңыз /proc ішінде файлдарды каталогтарда жасырыңыз, зиянды ортақ кітапхананы ldd шығысынан шығарыңыз (execve функциясы ұсталды және қоңыраулар LD_TRACE_LOADED_OBJECTS ортасының айнымалы мәнімен талданады) зиянды әрекетке қатысты желілік ұяшықтарды көрсетпейді.

Симбиот сонымен қатар кейбір файлдық жүйе әрекеті сканерлерін айналып өтуге мүмкіндік береді, өйткені құпия деректерді ұрлау файлдарды ашу деңгейінде емес, заңды қолданбаларда осы файлдарды оқу әрекеттерін тоқтату арқылы жүзеге асырылуы мүмкін (мысалы, кітапхананы ауыстыру функциялары пайдаланушының құпия сөзді немесе деректерден жүктелген файлдарды енгізуін тоқтатуға мүмкіндік береді кіру кілті файлы).

Бұл өте қиын болғандықтан, Symbiote инфекциясы «радар астында ұшуы» мүмкін. Біздің тергеуімізде Symbiote кең немесе жоғары мақсатты шабуылдарда қолданылғанын анықтау үшін жеткілікті дәлелдер таппадық.

Қашықтан кіруді ұйымдастыру үшін, Symbiote кейбір PAM қоңырауларын ұстайды (Pluggable Authentication Module), ол белгілі бір шабуыл тіркелгі деректерімен SSH арқылы жүйеге қосылуға мүмкіндік береді. Сондай-ақ, HTTP_SETTHIS ортасының айнымалы мәнін орнату арқылы түбірлік артықшылықтарыңызды көтерудің жасырын опциясы бар.

Трафикті тексеруден қорғау үшін libpcap кітапханасының функциялары қайта анықталады, /proc/net/tcp оқуы сүзіледі және ядроға жүктелген BPF бағдарламаларына қосымша код енгізіледі.

Finalmente егер сіз бұл туралы көбірек білгіңіз келсе ескертпе туралы мақаланың түпнұсқасымен танысуға болады келесі сілтеме.


Мақаланың мазмұны біздің ұстанымдарымызды ұстанады редакторлық этика. Қате туралы хабарлау үшін нұқыңыз Мұнда.

Бірінші болып пікір айтыңыз

Пікіріңізді қалдырыңыз

Сіздің электрондық пошта мекен-жайы емес жарияланады.

*

*

  1. Деректерге жауапты: Мигель Анхель Гатан
  2. Деректердің мақсаты: СПАМ-ны басқару, түсініктемелерді басқару.
  3. Заңдылық: Сіздің келісіміңіз
  4. Деректер туралы ақпарат: заңды міндеттемелерді қоспағанда, деректер үшінші тұлғаларға жіберілмейді.
  5. Деректерді сақтау: Occentus Networks (ЕО) орналастырған мәліметтер базасы
  6. Құқықтар: Сіз кез-келген уақытта ақпаратты шектей, қалпына келтіре және жоя аласыз.