L Intezer un BlackBerry pētnieki atbrīvoja Nesen viņi ir atklājuši ļaunprātīgu programmatūru ar koda nosaukumu "simbiote", ko raksturo aizmugures durvju un sakņu komplektu ievadīšana apdraudētos Linux serveros.
Šī ļaunprātīgā programmatūra tas tika atrasts vairāku Latīņamerikas valstu finanšu institūciju sistēmās. Symbiote iezīme ir izplatīšana kā koplietojama bibliotēka, kas tiek ielādēta visu procesu startēšanas laikā, izmantojot LD_PRELOAD mehānismu, un aizstāj dažus standarta bibliotēkas izsaukumus.
Symbiote atšķir no citām Linux ļaunprātīgām programmām, ar kurām mēs regulāri sastopamies, ir tas, ka tai ir jāinficē citi darbojošie procesi, lai nodarītu kaitējumu inficētajiem datoriem.
Tā vietā, lai tas būtu atsevišķs izpildāms fails, kas tiek palaists, lai inficētu mašīnu, tā ir koplietojama objekta (OS) bibliotēka, kas tiek ielādēta visos darbojošajos procesos, izmantojot LD_PRELOAD (T1574.006), un parazitāri inficē iekārtu. Kad tas ir inficējis visus darbojošos procesus, tas nodrošina apdraudējuma dalībnieku ar rootkit funkcionalitāti, iespēju vākt akreditācijas datus un attālās piekļuves iespējas.
Lai varētu instalēt Symbiote sistēmā, uzbrucējam ir jābūt root piekļuvei, ko var iegūt, piemēram, neizmantojot nelabotās ievainojamības vai uzlaužot kontu. simbiotse ļauj uzbrucējam nodrošināt savu klātbūtni sistēmā pēc uzlaušanas, lai veiktu turpmākus uzbrukumus, slēptu citu ļaunprātīgu lietotņu darbību un organizētu sensitīvu datu pārtveršanu.
Mūsu agrākais Symbiote atklājums ir 2021. gada novembrī, un šķiet, ka tas ir rakstīts, lai mērķētu uz Latīņamerikas finanšu sektoru. Kad ļaunprogrammatūra ir inficējusi iekārtu, tā slēpj sevi un jebkuru citu ļaunprātīgu programmatūru, ko izmanto apdraudējuma izraisītājs, tādējādi infekcijas ir ļoti grūti atklāt. Tiešsaistes kriminālistikas veikšana inficētajā datorā var neko neatklāt, jo ļaunprogrammatūra slēpj visus failus, procesus un tīkla artefaktus. Papildus rootkit iespējām, ļaunprogrammatūra nodrošina aizmugures durvis, lai draudu izpildītājs varētu pieteikties kā jebkuram datora lietotājam ar iekodētu paroli un izpildīt komandas ar visaugstākajām privilēģijām.
Viltotu zvanu apstrādātāji slēpj darbību kas saistīti ar aizmugurējām durvīm, piemēram, izslēdzot atsevišķus elementus procesu sarakstā bloķējiet piekļuvi noteiktiem failiem mapē /proc paslēpiet failus direktorijos, izslēdziet ļaunprātīgu koplietojamo bibliotēku no ldd izvades (funkcija execve tiek pārtverta un zvani tiek parsēti ar vides mainīgo LD_TRACE_LOADED_OBJECTS) nerāda tīkla ligzdas, kas saistītas ar ļaunprātīgu darbību.
Simbiote ļauj arī apiet dažus failu sistēmas darbības skenerus, jo sensitīvu datu zādzību var veikt nevis failu atvēršanas līmenī, bet gan pārtverot šo failu lasīšanas darbības likumīgās lietojumprogrammās (piemēram, bibliotēkas aizstāšanas funkcijas ļauj pārtvert lietotāja ievadīto paroli vai failus, kas ielādēti no datiem piekļuves atslēgas failam).
Tā kā tā ir ārkārtīgi nenotverama, Symbiote infekcija, visticamāk, "lidos zem radara". Savā izmeklēšanā mēs neesam atraduši pietiekami daudz pierādījumu, lai noteiktu, vai Symbiote tiek izmantots plašiem vai ļoti mērķtiecīgiem uzbrukumiem.
Lai organizētu attālo pieteikšanos, Symbiote pārtver dažus PAM zvanus (Pluggable Authentication Module), kas ļauj izveidot savienojumu ar sistēmu, izmantojot SSH, izmantojot noteiktus uzbrukuma akreditācijas datus. Ir arī slēpta iespēja paaugstināt savas privilēģijas uz root, iestatot HTTP_SETTHIS vides mainīgo.
Lai aizsargātu pret satiksmes pārbaudi, libpcap bibliotēkas funkcijas tiek definētas no jauna, /proc/net/tcp nolasīšana tiek filtrēta un kodolā ielādētajās BPF programmās tiek ievietots papildu kods.
Beidzot ja jūs interesē uzzināt vairāk par to par piezīmi varat skatīt oriģinālo rakstu vietnē šī saite.