The Penyelidik Intezer dan BlackBerry dikeluarkan Baru-baru ini mereka telah menemui perisian hasad dengan nama kod «symbiote», yang dicirikan dengan digunakan untuk menyuntik pintu belakang dan rootkit ke dalam pelayan Linux yang terjejas.
Perisian berniat jahat ini ia ditemui dalam sistem institusi kewangan di beberapa negara Amerika Latin. Ciri Symbiote ialah pengedaran sebagai perpustakaan kongsi, yang dimuatkan semasa permulaan semua proses menggunakan mekanisme LD_PRELOAD dan menggantikan beberapa panggilan ke perpustakaan standard.
Apa yang membezakan Symbiote daripada perisian hasad Linux lain yang selalu kami temui ialah ia perlu menjangkiti proses berjalan lain untuk menyebabkan kerosakan pada komputer yang dijangkiti.
Daripada menjadi fail boleh laku yang berdiri sendiri yang dijalankan untuk menjangkiti mesin, ia adalah pustaka objek kongsi (OS) yang dimuatkan ke dalam semua proses yang sedang berjalan melalui LD_PRELOAD (T1574.006) dan menjangkiti mesin secara parasit. Sebaik sahaja ia telah menjangkiti semua proses yang sedang berjalan, ia menyediakan aktor ancaman dengan fungsi rootkit, keupayaan untuk mengumpul bukti kelayakan, dan keupayaan capaian jauh.
Untuk dapat memasang Symbiote dalam suatu sistem, penyerang mesti mempunyai akses root, yang boleh diperolehi, sebagai contoh, hasil daripada mengeksploitasi kelemahan yang tidak ditambal atau penggodaman akaun. symbiotee membolehkan penyerang memastikan kehadirannya dalam sistem selepas menggodam untuk melakukan serangan selanjutnya, sembunyikan aktiviti apl berniat jahat yang lain, dan aturkan pemintasan data sensitif.
Pengesanan Symbiote terawal kami adalah dari November 2021, dan nampaknya telah ditulis untuk menyasarkan sektor kewangan di Amerika Latin. Sebaik sahaja perisian hasad telah menjangkiti mesin, ia menyembunyikan dirinya dan sebarang perisian hasad lain yang digunakan oleh pelaku ancaman, menjadikan jangkitan sangat sukar untuk dikesan. Melakukan forensik secara langsung pada mesin yang dijangkiti mungkin tidak mendedahkan apa-apa, kerana perisian hasad menyembunyikan semua fail, proses dan artifak rangkaian. Selain keupayaan rootkit, perisian hasad menyediakan pintu belakang untuk pelaku ancaman untuk log masuk sebagai mana-mana pengguna pada mesin dengan kata laluan berkod keras dan melaksanakan arahan dengan keistimewaan tertinggi.
Pengendali panggilan palsu menyembunyikan aktiviti berkaitan dengan pintu belakang, seperti mengecualikan elemen individu dalam senarai proses, sekat akses kepada fail tertentu dalam /proc, sembunyikan fail dalam direktori, kecualikan perpustakaan kongsi berniat jahat daripada output ldd (fungsi execve dipintas dan panggilan dihuraikan dengan pembolehubah persekitaran LD_TRACE_LOADED_OBJECTS) tidak menunjukkan soket rangkaian yang dikaitkan dengan aktiviti hasad.
symbiote juga membenarkan memintas beberapa pengimbas aktiviti sistem fail, memandangkan kecurian data sensitif boleh dilakukan bukan pada tahap membuka fail, tetapi dengan memintas operasi membaca fail ini dalam aplikasi yang sah (contohnya, fungsi penggantian perpustakaan membolehkan anda memintas input pengguna bagi kata laluan atau fail yang dimuatkan daripada data fail kunci akses).
Oleh kerana ia sangat sukar difahami, jangkitan Symbiote mungkin "terbang di bawah radar." Dalam penyiasatan kami, kami tidak menemui bukti yang mencukupi untuk menentukan sama ada Symbiote digunakan dalam serangan yang luas atau sangat disasarkan.
Untuk mengatur log masuk jauh, Symbiote memintas beberapa panggilan PAM (Modul Pengesahan Boleh Pasang), yang membolehkan anda menyambung ke sistem melalui SSH dengan bukti kelayakan serangan tertentu. Terdapat juga pilihan tersembunyi untuk meningkatkan keistimewaan anda kepada root dengan menetapkan pembolehubah persekitaran HTTP_SETTHIS.
Untuk melindungi daripada pemeriksaan trafik, fungsi perpustakaan libpcap ditakrifkan semula, bacaan /proc/net/tcp ditapis dan kod tambahan dimasukkan ke dalam program BPF yang dimuatkan ke dalam kernel.
Akhirnya sekiranya anda berminat untuk mengetahui lebih lanjut mengenainya mengenai nota, anda boleh merujuk artikel asal dalam pautan berikut.