தி Intezer மற்றும் BlackBerry ஆராய்ச்சியாளர்கள் வெளியிட்டனர் சமீபத்தில் தீம்பொருளை கண்டுபிடித்துள்ளனர் குறியீட்டு பெயருடன் "சிம்பியோட்", இது பின்கதவுகள் மற்றும் ரூட்கிட்களை சமரசம் செய்யப்பட்ட லினக்ஸ் சர்வர்களில் செலுத்த பயன்படுகிறது.
இந்த தீங்கிழைக்கும் மென்பொருள் பல லத்தீன் அமெரிக்க நாடுகளில் உள்ள நிதி நிறுவனங்களின் அமைப்புகளில் இது கண்டறியப்பட்டது. சிம்பியோட்டின் ஒரு அம்சம் பகிரப்பட்ட நூலகமாக விநியோகிக்கப்படுகிறது, இது LD_PRELOAD பொறிமுறையைப் பயன்படுத்தி அனைத்து செயல்முறைகளின் தொடக்கத்தின் போது ஏற்றப்படும் மற்றும் நிலையான நூலகத்திற்கு சில அழைப்புகளை மாற்றுகிறது.
நாம் வழக்கமாகக் காணும் பிற Linux தீம்பொருளிலிருந்து Symbiote ஐ வேறுபடுத்துவது, பாதிக்கப்பட்ட கணினிகளில் சேதத்தை ஏற்படுத்த மற்ற இயங்கும் செயல்முறைகளைப் பாதிக்க வேண்டும்.
ஒரு இயந்திரத்தைப் பாதிப்பதற்காக இயங்கும் ஒரு தனித்த இயங்கக்கூடிய கோப்பாக இருப்பதற்குப் பதிலாக, இது LD_PRELOAD (T1574.006) வழியாக இயங்கும் அனைத்து செயல்முறைகளிலும் ஏற்றப்பட்டு, இயந்திரத்தை ஒட்டுண்ணியாகப் பாதிக்கக்கூடிய பகிரப்பட்ட பொருள் (OS) நூலகமாகும். இயங்கும் அனைத்து செயல்முறைகளையும் அது பாதித்தவுடன், ரூட்கிட் செயல்பாடு, நற்சான்றிதழ்களை சேகரிக்கும் திறன் மற்றும் தொலைநிலை அணுகல் திறன் ஆகியவற்றை அச்சுறுத்தும் நடிகருக்கு வழங்குகிறது.
சிம்பியோட்டை நிறுவ முடியும் ஒரு அமைப்பில், தாக்குபவர் ரூட் அணுகலைப் பெற்றிருக்க வேண்டும், எடுத்துக்காட்டாக, இணைக்கப்படாத பாதிப்புகள் அல்லது கணக்கு ஹேக்கிங்கைப் பயன்படுத்துவதன் விளைவாகப் பெறலாம். சிம்பியோட்e அமைப்பில் தனது இருப்பை உறுதி செய்ய தாக்குபவர் அனுமதிக்கிறது ஹேக்கிங்கிற்குப் பிறகு மேலும் தாக்குதல்களைச் செய்ய, பிற தீங்கிழைக்கும் பயன்பாடுகளின் செயல்பாட்டை மறைத்து, முக்கியமான தரவை இடைமறிக்க ஏற்பாடு செய்யுங்கள்.
நவம்பர் 2021 முதல் சிம்பியோட்டைக் கண்டறிந்துள்ளோம், மேலும் இது லத்தீன் அமெரிக்காவின் நிதித் துறையை இலக்காகக் கொண்டு எழுதப்பட்டதாகத் தெரிகிறது. தீம்பொருள் ஒரு இயந்திரத்தைத் தொற்றியவுடன், அது தன்னை மறைத்துக்கொள்வதோடு, அச்சுறுத்தல் நடிகர் பயன்படுத்தும் மற்ற தீம்பொருளையும் மறைத்து, நோய்த்தொற்றுகளைக் கண்டறிவது மிகவும் கடினம். தீம்பொருள் அனைத்து கோப்புகள், செயல்முறைகள் மற்றும் நெட்வொர்க் கலைப்பொருட்களை மறைப்பதால், பாதிக்கப்பட்ட கணினியில் நேரடி தடயவியல் செய்வதால் எதையும் வெளிப்படுத்த முடியாது. ரூட்கிட் திறனுடன் கூடுதலாக, ஹார்ட்கோட் செய்யப்பட்ட கடவுச்சொல்லைக் கொண்டு கணினியில் உள்ள எந்தப் பயனராகவும் உள்நுழைவதற்கும், உயர்ந்த சலுகைகளுடன் கட்டளைகளை இயக்குவதற்கும் அச்சுறுத்தல் நடிகருக்கு மால்வேர் பின்கதவை வழங்குகிறது.
ஏமாற்றப்பட்ட அழைப்பு கையாளுபவர்கள் செயல்பாட்டை மறைக்கிறார்கள் தனிப்பட்ட கூறுகளைத் தவிர்த்து பின் கதவு தொடர்பானது செயல்முறை பட்டியலில், சில கோப்புகளுக்கான அணுகலைத் தடுக்கவும் /proc இல், கோப்பகங்களில் கோப்புகளை மறைக்கவும், ldd வெளியீட்டில் இருந்து தீங்கிழைக்கும் பகிரப்பட்ட நூலகத்தை விலக்கவும் (execve செயல்பாடு இடைமறிக்கப்பட்டது மற்றும் அழைப்புகள் LD_TRACE_LOADED_OBJECTS சூழல் மாறி மூலம் பாகுபடுத்தப்படுகின்றன) தீங்கிழைக்கும் செயல்பாட்டுடன் தொடர்புடைய நெட்வொர்க் சாக்கெட்களைக் காட்டாது.
சிம்பியோட் சில கோப்பு முறைமை செயல்பாட்டு ஸ்கேனர்களைத் தவிர்க்கவும் அனுமதிக்கிறது, உணர்திறன் தரவுத் திருடானது கோப்புகளைத் திறக்கும் மட்டத்தில் அல்ல, ஆனால் முறையான பயன்பாடுகளில் இந்த கோப்புகளின் வாசிப்பு செயல்பாடுகளை இடைமறிப்பதன் மூலம் மேற்கொள்ளப்படலாம் (உதாரணமாக, நூலக மாற்று செயல்பாடுகள் கடவுச்சொல் அல்லது தரவிலிருந்து ஏற்றப்பட்ட கோப்புகளின் பயனர் உள்ளீட்டை இடைமறிக்க அனுமதிக்கின்றன. முக்கிய கோப்பை அணுகவும்).
இது மிகவும் மழுப்பலாக இருப்பதால், ஒரு சிம்பியோட் தொற்று "ரேடாரின் கீழ் பறக்க" வாய்ப்புள்ளது. எங்கள் விசாரணையில், பரந்த அல்லது அதிக இலக்கு தாக்குதல்களில் சிம்பியோட் பயன்படுத்தப்படுகிறதா என்பதைத் தீர்மானிக்க போதுமான ஆதாரங்கள் கிடைக்கவில்லை.
தொலை உள்நுழைவை ஒழுங்கமைக்க, சிம்பியோட் சில PAM அழைப்புகளை இடைமறிக்கும் (Pluggable Authentication Module), இது சில தாக்குதல் சான்றுகளுடன் SSH வழியாக கணினியுடன் இணைக்க உங்களை அனுமதிக்கிறது. HTTP_SETTHIS சூழல் மாறியை அமைப்பதன் மூலம் உங்கள் சிறப்புரிமைகளை ரூட்டிற்கு உயர்த்த ஒரு மறைக்கப்பட்ட விருப்பமும் உள்ளது.
போக்குவரத்து ஆய்வுக்கு எதிராக பாதுகாக்க, libpcap நூலக செயல்பாடுகள் மறுவரையறை செய்யப்படுகின்றன, /proc/net/tcp இன் வாசிப்பு வடிகட்டப்படுகிறது, மேலும் கர்னலில் ஏற்றப்பட்ட BPF நிரல்களில் கூடுதல் குறியீடு செருகப்படுகிறது.
இறுதியாக நீங்கள் அதைப் பற்றி மேலும் அறிய ஆர்வமாக இருந்தால் குறிப்பைப் பற்றி, நீங்கள் அசல் கட்டுரையைப் பார்க்கலாம் பின்வரும் இணைப்பு.