ka Baarayaasha Intezer iyo BlackBerry ayaa la sii daayay Dhawaan waxay heleen malware oo leh magac kood "symbiote", kaas oo lagu garto in loo isticmaalo in lagu duro albaabbada dhabarka iyo rootkit-yada ee server-yada Linux-ka ah.
Software-kan xaasidka ah waxaa laga helay nidaamyada hay'adaha maaliyadeed ee dhowr waddan oo Latin America ah. Sifada Symbiote waa qaybinta sida maktabad la wadaago, taas oo la raray inta lagu jiro bilawga dhammaan hababka iyadoo la adeegsanayo habka LD_PRELOAD oo beddela wicitaannada qaar ee maktabadda caadiga ah.
Waxa Symbiote ka duwan malware-ka kale ee Linux ee aan si joogto ah ula kulano waa in ay u baahan tahay in ay qaadsiiso hababka kale ee socodsiinta si ay waxyeelo ugu gaarsiiso kombiyuutarada cudurka qaba.
Halkii laga ahaan lahaa fayl keligiis la fulin karo oo loo ordo si uu u waxyeeleeyo mishiinka, waa shay la wadaago (OS) maktabadda oo lagu shubo dhammaan hababka socodsiinta iyada oo loo marayo LD_PRELOAD (T1574.006) oo si parasitically u saameeya mashiinka. Marka ay ku dhacdo dhammaan hababka socodsiinta, waxay siisaa jilaaga khatarta ah shaqeynta rootkit, awoodda ururinta aqoonsiga, iyo awoodda gelitaanka fog.
Si loo rakibo Symbiote nidaamka, Weerarku waa inuu lahaadaa xidid, kaas oo la heli karo, tusaale ahaan, iyadoo ay sabab u tahay ka faa'iidaysiga dayacanka aan la daboolin ama jabsiga akoonnada. symbiotee waxay u ogolaataa weeraryahanku inuu xaqiijiyo joogitaankiisa nidaamka jabsiga ka dib si loo sameeyo weeraro dheeraad ah, qari dhaqdhaqaaqa apps kale xaasidnimo ah, oo u habeeyo dhexda xogta xasaasiga ah.
Helitaankayaga ugu horreeya ee Symbiote wuxuu ahaa Noofembar 2021, waxayna u muuqataa in loo qoray in lagu beegsado qaybta maaliyadeed ee Latin America. Mar haddii malware uu ku dhaco mishiinka, wuu asturaa naftiisa iyo malware kasta oo uu isticmaalo jilaaga khatarta ahi, taas oo ka dhigaysa caabuqyada mid aad u adag in la ogaado. Ku samaynta baadhitaanka tooska ah ee mishiinka cudurka qaba waxa laga yaabaa inaanay waxba muujin, maadaama malware-ku qarinayo dhammaan faylasha, hababka, iyo agabka shabakadda. Awooda rootkit ka sokoow, malware-ku wuxuu bixiyaa albaab danbe oo loogu talagalay jilaaga halista ah si uu u galo isticmaale kasta oo mashiinka wata furaha sirta ah ee adag oo uu fuliyo amarada leh mudnaanta ugu sareysa.
Gacan-ku-hayeyaasha wicitaanka ee qarsoon waxay qariyaan dhaqdhaqaaqa la xidhiidha albaabka dambe, sida marka laga reebo walxaha gaarka ah Liiska habsocodka, xannibo gelitaanka faylasha qaarkood gudaha/proc, qari feylasha buug-tusaha, ka saar maktabadda xaasidnimada leh ee la wadaago wax-soosaarka ldd (shaqada fulinta waa la xannibay oo wicitaannada waxaa lagu miisaamayaa LD_TRACE_LOADED_OBJECTS doorsoomiyaha deegaanka) ma muujiyaan saldhigyo shabakadeed oo la xidhiidha waxqabadka xaasidnimada ah.
symbiote Waxa kale oo ay ogolaataa in la dhaafo qaar ka mid ah sawir-qaadayaasha hawlaha nidaamka faylalka, maadaama xatooyada xogta xasaasiga ah laguma fulin karo heerka faylalka furitaanka, laakiin la dhexgaliyo hawlgallada akhrinta faylashan ee codsiyada sharciga ah (tusaale ahaan, shaqooyinka beddelka maktabadda waxay kuu oggolaaneysaa inaad farageliso isticmaaleha erayga sirta ah ama faylasha laga soo raray xogta geli faylka muhiimka ah).
Maadaama ay aad u adag tahay, infekshanka Symbiote waxay u badan tahay inuu "ku dul duulo raadaarka." Baaritaankayaga, kumaanu helin caddayn ku filan si loo go'aamiyo in Symbiote loo isticmaalo weeraro ballaaran ama si aadka loo bartilmaameedsado.
Si loo abaabulo galitaanka fog, Symbiote waxay joojisaa wicitaanada PAM qaarkood (Module Authentication Pluggable), kaas oo kuu ogolaanaya inaad ku xidho nidaamka adoo isticmaalaya SSH oo wata aqoonsiga weerarka qaarkood. Waxa kale oo jira ikhtiyaar dahsoon oo kor loogu qaadayo mudnaantaada xididka adiga oo dejinaya doorsoomiyaha deegaanka HTTP_SETHIS.
Si looga ilaaliyo baaritaanka taraafikada, shaqooyinka maktabadda libpcap dib ayaa loo qeexay, akhrinta /proc/net/tcp waa la shaandheeyay, kood dheeraad ah ayaa la geliyaa barnaamijyada BPF ee lagu shubay kernel-ka.
Finalmente hadaad xiisaynayso inaad waxbadan ka ogaato ku saabsan qoraalka, waxaad kala tashan kartaa maqaalka asalka ah ee ku jira xiriirka soo socda.