Symbiote, Linux වෙතට backdoors සහ rootkits එන්නත් කිරීමට ඉඩ සලසන අනිෂ්ට මෘදුකාංගයකි

මෙම ඉන්ටෙසර් සහ බ්ලැක්බෙරි පර්යේෂකයන් විසින් නිකුත් කරන ලදී මෑතකදී ඔවුන් අනිෂ්ට මෘදුකාංගයක් සොයාගෙන ඇත කේත නාමය සමඟ "සහජීවනය", එය සම්මුතියට පත් ලිනක්ස් සර්වර් වලට බැක්ඩෝර් සහ රූට්කිට් එන්නත් කිරීමට භාවිතා කිරීම මගින් සංලක්ෂිත වේ.

මෙම අනිෂ්ට මෘදුකාංග එය ලතින් ඇමෙරිකානු රටවල් කිහිපයක මූල්‍ය ආයතන පද්ධතිවල දක්නට ලැබිණි. Symbiote හි විශේෂාංගයක් වන්නේ LD_PRELOAD යාන්ත්‍රණය භාවිතයෙන් සියලුම ක්‍රියාවලීන් ආරම්භයේදී පූරණය වන සහ සම්මත පුස්තකාලයට සමහර ඇමතුම් ප්‍රතිස්ථාපනය කරන හවුල් පුස්තකාලයක් ලෙස බෙදා හැරීමයි.

අපි නිතරම හමුවන අනෙකුත් Linux අනිෂ්ට මෘදුකාංග වලින් Symbiote වෙන් කරන්නේ ආසාදිත පරිගණක වලට හානි සිදු කිරීම සඳහා අනෙකුත් ධාවන ක්‍රියාවලීන් ආසාදනය කිරීමට අවශ්‍ය වීමයි.

යන්ත්‍රයක් ආසාදනය කිරීම සඳහා ක්‍රියාත්මක වන තනියම ක්‍රියාත්මක කළ හැකි ගොනුවක් වෙනුවට, එය LD_PRELOAD (T1574.006) හරහා ධාවනය වන සියලුම ක්‍රියාවලීන් වෙත පටවා යන්ත්‍රය පරපෝෂිත ලෙස ආසාදනය කරන හවුල් වස්තු (OS) පුස්තකාලයකි. එය ක්‍රියාත්මක වන සියලුම ක්‍රියාවලීන් ආසාදනය වූ පසු, එය තර්ජන නළුවාට rootkit ක්‍රියාකාරිත්වය, අක්තපත්‍ර එකතු කිරීමේ හැකියාව සහ දුරස්ථ ප්‍රවේශ හැකියාව ලබා දෙයි.

Symbiote ස්ථාපනය කිරීමට හැකි වීමට පද්ධතියක් තුළ, ප්‍රහාරකයෙකුට root ප්‍රවේශය තිබිය යුතුය, ලබා ගත හැකි, උදාහරණයක් ලෙස, unpatched දුර්වලතා ගසාකෑමේ ප්රතිඵලයක් ලෙස හෝ ගිණුම් හැකර්. සහජීවකයාe ප්රහාරකයාට පද්ධතිය තුළ ඔහුගේ පැමිණීම සහතික කිරීමට ඉඩ සලසයි හැක් කිරීමෙන් පසු තවත් ප්‍රහාර සිදු කිරීමට, අනෙකුත් අනිෂ්ට යෙදුම්වල ක්‍රියාකාරකම් සඟවන්න, සහ සංවේදී දත්ත වලට බාධා කිරීමට කටයුතු කරන්න.

Symbiote පිළිබඳ අපගේ මුල්ම අනාවරණය 2021 නොවැම්බර් සිට වන අතර, එය ලතින් ඇමරිකාවේ මූල්‍ය අංශය ඉලක්ක කර ලියා ඇති බව පෙනේ. අනිෂ්ට මෘදුකාංග යන්ත්‍රයකට ආසාදනය වූ පසු, එය තමා සහ තර්ජනය කරන ක්‍රියාකරු විසින් භාවිතා කරන වෙනත් අනිෂ්ට මෘදුකාංගයක් සඟවයි, ආසාදන හඳුනා ගැනීම ඉතා අපහසු වේ. අනිෂ්ට මෘදුකාංගය සියලුම ගොනු, ක්‍රියාවලි සහ ජාල පුරාවස්තු සඟවන බැවින් ආසාදිත යන්ත්‍රයක සජීවී අධිකරණ වෛද්‍ය විද්‍යාව සිදු කිරීමෙන් කිසිවක් හෙළි නොකළ හැකිය. Rootkit හැකියාවට අමතරව, දෘඪ කේත සහිත මුරපදයකින් පරිගණකයේ ඕනෑම පරිශීලකයෙකු ලෙස ලොග් වීමට සහ ඉහළම වරප්‍රසාද සහිත විධාන ක්‍රියාත්මක කිරීමට අනිෂ්ට මෘදුකාංගය තර්ජනාත්මක නළුවාට පසු දොරක් සපයයි.

වංචනික ඇමතුම් හසුරුවන්නන් ක්‍රියාකාරකම් සඟවයි තනි මූලද්‍රව්‍ය බැහැර කිරීම වැනි පිටුපස දොර හා සම්බන්ධ ක්‍රියාවලි ලැයිස්තුවේ, ඇතැම් ගොනු වෙත ප්‍රවේශය අවහිර කරන්න /proc තුළ, නාමාවලි තුළ ගොනු සඟවන්න, ldd ප්‍රතිදානයෙන් අනිෂ්ට බෙදාගත් පුස්තකාලයක් බැහැර කරන්න (execve ශ්‍රිතය බාධා වන අතර ඇමතුම් LD_TRACE_LOADED_OBJECTS පරිසර විචල්‍යයක් සමඟ විග්‍රහ කෙරේ) අනිෂ්ට ක්‍රියාකාරකම් සමඟ සම්බන්ධිත ජාල සොකට් නොපෙන්වයි.

සහජීවකයා සමහර ගොනු පද්ධති ක්‍රියාකාරකම් ස්කෑනර් මග හැරීමටද ඉඩ සලසයි, සංවේදී දත්ත සොරකම් සිදු කළ හැක්කේ ගොනු විවෘත කිරීමේ මට්ටමෙන් නොව, නීත්‍යානුකූල යෙදුම්වල මෙම ගොනු කියවීමට බාධා කිරීමෙන් (උදාහරණයක් ලෙස, පුස්තකාල ආදේශන කාර්යයන් මඟින් මුරපදයක් හෝ දත්තයකින් පටවා ඇති ගොනු පරිශීලක ආදානයට බාධා කිරීමට ඉඩ සලසයි. ප්‍රවේශ යතුරු ගොනුව).

එය අතිශයින් නොපෙනෙන බැවින්, Symbiote ආසාදනයක් "රේඩාර් යටතේ පියාසර කිරීමට" ඉඩ ඇත. අපගේ විමර්ශනයේදී, පුළුල් හෝ ඉහළ ඉලක්කගත ප්‍රහාර සඳහා Symbiote භාවිතා කරන්නේද යන්න තීරණය කිරීමට ප්‍රමාණවත් සාක්ෂි අපට හමු වී නොමැත.

දුරස්ථ පිවිසුම් සංවිධානය කිරීමට, Symbiote සමහර PAM ඇමතුම් වලට බාධා කරයි (Pluggable Authentication Module), එය ඔබට SSH හරහා යම් ප්‍රහාරක අක්තපත්‍ර සමඟින් පද්ධතියට සම්බන්ධ වීමට ඉඩ සලසයි. HTTP_SETTHIS පරිසර විචල්‍යය සැකසීමෙන් ඔබේ වරප්‍රසාද root වෙත ඉහළ නැංවීමට සැඟවුණු විකල්පයක් ද ඇත.

රථවාහන පරීක්ෂාවෙන් ආරක්ෂා වීම සඳහා, libpcap පුස්තකාල ක්‍රියාකාරකම් නැවත අර්ථ දක්වා ඇත, /proc/net/tcp කියවීම පෙරීම, සහ කර්නලය තුළට පටවන ලද BPF වැඩසටහන් වෙත අමතර කේතය ඇතුළත් කරනු ලැබේ.

අවසානයේ ඔබ ඒ ගැන වැඩි විස්තර දැන ගැනීමට කැමති නම් සටහන ගැන, ඔබට මුල් ලිපියෙන් උපදෙස් ලබා ගත හැක පහත සබැඳිය.


ලිපියේ අන්තර්ගතය අපගේ මූලධර්මවලට අනුකූල වේ කතුවැකි ආචාර ධර්ම. දෝෂයක් වාර්තා කිරීමට ක්ලික් කරන්න මෙන්න.

අදහස් පළ කිරීමට ප්රථම වන්න

ඔබේ අදහස තබන්න

ඔබේ ඊ-මේල් ලිපිනය පළ කරනු නොලැබේ. අවශ්ය ක්ෂේත්ර දක්වා ඇති ලකුණ *

*

*

  1. දත්ත සඳහා වගකිව යුතු: මිගෙල් ඇන්ජල් ගැටන්
  2. දත්තවල අරමුණ: SPAM පාලනය කිරීම, අදහස් කළමනාකරණය.
  3. නීත්‍යානුකූලභාවය: ඔබේ කැමැත්ත
  4. දත්ත සන්නිවේදනය: නෛතික බැඳීමකින් හැර දත්ත තෙවන පාර්ශවයකට සන්නිවේදනය නොකෙරේ.
  5. දත්ත ගබඩා කිරීම: ඔක්සෙන්ටස් නෙට්වර්ක්ස් (EU) විසින් සත්කාරකත්වය දක්වන දත්ත සමුදාය
  6. අයිතිවාසිකම්: ඕනෑම වේලාවක ඔබට ඔබේ තොරතුරු සීමා කිරීමට, නැවත ලබා ගැනීමට සහ මකා දැමීමට හැකිය.