mycket Intezer och BlackBerry forskare släppt mottagare de har upptäckt en skadlig kod med kodnamn "symbiot", som kännetecknas av att användas för att injicera bakdörrar och rootkits i komprometterade Linux-servrar.
Denna skadliga programvara den återfanns i finansiella institutioners system i flera latinamerikanska länder. En funktion hos Symbiote är distribution som ett delat bibliotek, som laddas under uppstart av alla processer med hjälp av LD_PRELOAD-mekanismen och ersätter vissa anrop till standardbiblioteket.
Det som skiljer Symbiote från annan Linux-skadlig programvara som vi regelbundet stöter på är att den behöver infektera andra pågående processer för att skada infekterade datorer.
Istället för att vara en fristående körbar fil som körs för att infektera en maskin, är det ett bibliotek med delat objekt (OS) som laddas in i alla pågående processer via LD_PRELOAD (T1574.006) och parasitiskt infekterar maskinen. När den väl har infekterat alla pågående processer förser den hotaktören med rootkit-funktionalitet, möjligheten att samla in autentiseringsuppgifter och möjlighet till fjärråtkomst.
För att kunna installera Symbiote i ett system, en angripare måste ha root-åtkomst, som kan erhållas till exempel som ett resultat av utnyttjande av opatchade sårbarheter eller kontohackning. symbiote tillåter angriparen att säkerställa sin närvaro i systemet efter hacket för att utföra ytterligare attacker, dölja aktiviteten hos andra skadliga appar och ordna med avlyssning av känslig data.
Vår tidigaste upptäckt av Symbiote är från november 2021, och den verkar ha skrivits för att rikta in sig på finanssektorn i Latinamerika. När skadlig programvara har infekterat en maskin döljer den sig själv och all annan skadlig kod som används av hotaktören, vilket gör infektioner mycket svåra att upptäcka. Att utföra kriminalundersökningar på en infekterad maskin kanske inte avslöjar någonting, eftersom skadlig programvara döljer alla filer, processer och nätverksartefakter. Utöver rootkit-kapaciteten ger skadlig programvara en bakdörr för hotaktören att logga in som vilken användare som helst på maskinen med ett hårdkodat lösenord och utföra kommandon med högsta behörighet.
Hanterare av falska samtal döljer aktivitet relaterade till bakdörren, som att exkludera enskilda element blockera åtkomst till vissa filer i processlistan i /proc, dölj filer i kataloger, exkludera ett skadligt delat bibliotek från ldd-utdata (execve-funktionen fångas upp och anrop analyseras med en miljövariabel LD_TRACE_LOADED_OBJECTS) visar inga nätverkssockets associerade med skadlig aktivitet.
symbiote tillåter också att kringgå vissa filsystemaktivitetsskannrar, eftersom stöld av känslig data inte kan utföras på nivån för att öppna filer, utan genom att avlyssna läsoperationer av dessa filer i legitima applikationer (till exempel, biblioteksersättningsfunktioner låter dig fånga användarinmatning av ett lösenord eller filer som laddas från en data åtkomstnyckelfil).
Eftersom det är extremt svårfångat, är det troligt att en Symbiotinfektion "flyger under radarn". I vår undersökning har vi inte hittat tillräckligt med bevis för att avgöra om Symbiote används i breda eller mycket riktade attacker.
För att organisera fjärrinloggning, Symbiote avlyssnar några PAM-samtal (Pluggable Authentication Module), som låter dig ansluta till systemet via SSH med vissa attackuppgifter. Det finns också ett dolt alternativ för att höja dina privilegier till root genom att ställa in miljövariabeln HTTP_SETTHIS.
För att skydda mot trafikinspektion omdefinieras libpcaps biblioteksfunktioner, läsning av /proc/net/tcp filtreras och ytterligare kod infogas i BPF-program som laddas in i kärnan.
Slutligen om du är intresserad av att veta mer om det om anteckningen kan du läsa den ursprungliga artikeln i följande länk.