Os Pesquisadores da Intezer e BlackBerry lançados recentemente eles descobriram um malware com nome de código «simbionte», que se caracteriza por ser usado para injetar backdoors e rootkits em servidores Linux comprometidos.
Este malware foi encontrado nos sistemas de instituições financeiras em vários países da América Latina. Uma característica do Symbiote é a distribuição como uma biblioteca compartilhada, que é carregada durante a inicialização de todos os processos usando o mecanismo LD_PRELOAD e substitui algumas chamadas para a biblioteca padrão.
O que diferencia o Symbiote de outros malwares Linux que encontramos regularmente é que ele precisa infectar outros processos em execução para causar danos aos computadores infectados.
Em vez de ser um arquivo executável autônomo que é executado para infectar uma máquina, é uma biblioteca de objetos compartilhados (SO) que é carregada em todos os processos em execução via LD_PRELOAD (T1574.006) e infecta a máquina de forma parasita. Depois de infectar todos os processos em execução, ele fornece ao agente da ameaça a funcionalidade de rootkit, a capacidade de coletar credenciais e o recurso de acesso remoto.
Para poder instalar o Symbiote em um sistema, um invasor deve ter acesso root, que pode ser obtido, por exemplo, como resultado da exploração de vulnerabilidades não corrigidas ou invasão de contas. simbiontee permite que o invasor garanta sua presença no sistema após o hack para realizar novos ataques, ocultar a atividade de outros aplicativos maliciosos e providenciar a interceptação de dados confidenciais.
Nossa detecção mais antiga do Symbiote é de novembro de 2021 e parece ter sido escrita para atingir o setor financeiro na América Latina. Depois que o malware infecta uma máquina, ele oculta a si mesmo e a qualquer outro malware usado pelo agente da ameaça, tornando as infecções muito difíceis de detectar. A execução de perícias ao vivo em uma máquina infectada pode não revelar nada, pois o malware oculta todos os arquivos, processos e artefatos de rede. Além do recurso de rootkit, o malware fornece um backdoor para o agente da ameaça fazer login como qualquer usuário na máquina com uma senha codificada e executar comandos com os privilégios mais altos.
Os manipuladores de chamadas falsificadas ocultam a atividade relacionados com a porta dos fundos, como a exclusão de elementos individuais na lista de processos, bloqueie o acesso a determinados arquivos em /proc, ocultar arquivos em diretórios, excluir uma biblioteca compartilhada maliciosa da saída ldd (a função execve é interceptada e as chamadas são analisadas com uma variável de ambiente LD_TRACE_LOADED_OBJECTS) não mostra nenhum soquete de rede associado a atividade maliciosa.
Simbionte também permite ignorar alguns scanners de atividade do sistema de arquivos, uma vez que o roubo de dados confidenciais pode ser realizado não no nível de abertura de arquivos, mas interceptando operações de leitura desses arquivos em aplicativos legítimos (por exemplo, funções de substituição de biblioteca permitem interceptar a entrada do usuário de uma senha ou arquivos carregados de um banco de dados arquivo de chave de acesso).
Como é extremamente evasivo, é provável que uma infecção por Symbiote "voe sob o radar". Em nossa investigação, não encontramos evidências suficientes para determinar se o Symbiote está sendo usado em ataques amplos ou altamente direcionados.
Para organizar o login remoto, Symbiote intercepta algumas chamadas PAM (Pluggable Authentication Module), que permite conectar-se ao sistema via SSH com determinadas credenciais de ataque. Há também uma opção oculta para elevar seus privilégios para root definindo a variável de ambiente HTTP_SETTHIS.
Para proteger contra a inspeção de tráfego, as funções da biblioteca libpcap são redefinidas, a leitura de /proc/net/tcp é filtrada e código adicional é inserido em programas BPF carregados no kernel.
Finalmente se você estiver interessado em saber mais sobre isso sobre a nota, você pode consultar o artigo original no link a seguir