Các Các nhà nghiên cứu của Intezer và BlackBerry đã phát hành Gần đây họ đã phát hiện ra một phần mềm độc hại với tên mã «Ký sinh trùng», có đặc điểm là được sử dụng để đưa các backdoor và rootkit vào các máy chủ Linux bị xâm nhập.
Phần mềm độc hại này nó đã được tìm thấy trong hệ thống các tổ chức tài chính ở một số nước Mỹ Latinh. Một tính năng của Symbiote là phân phối như một thư viện chia sẻ, được tải trong khi khởi động tất cả các quy trình bằng cơ chế LD_PRELOAD và thay thế một số lệnh gọi đến thư viện chuẩn.
Điều làm cho Symbiote khác biệt với các phần mềm độc hại Linux khác mà chúng ta thường gặp là nó cần phải lây nhiễm các quy trình đang chạy khác để gây ra thiệt hại cho các máy tính bị nhiễm.
Thay vì là một tệp thực thi độc lập được chạy để lây nhiễm vào máy, nó là một thư viện đối tượng dùng chung (OS) được tải vào tất cả các quy trình đang chạy thông qua LD_PRELOAD (T1574.006) và lây nhiễm ký sinh vào máy. Khi nó đã lây nhiễm tất cả các tiến trình đang chạy, nó cung cấp cho tác nhân mối đe dọa chức năng rootkit, khả năng thu thập thông tin xác thực và khả năng truy cập từ xa.
Để có thể cài đặt Symbiote trong một hệ thống, kẻ tấn công phải có quyền truy cập root, ví dụ, có thể lấy được do khai thác các lỗ hổng chưa được vá hoặc hack tài khoản. symbiotee cho phép kẻ tấn công đảm bảo sự hiện diện của mình trong hệ thống sau khi hack để thực hiện các cuộc tấn công tiếp theo, ẩn hoạt động của các ứng dụng độc hại khác và sắp xếp việc đánh chặn dữ liệu nhạy cảm.
Phát hiện sớm nhất của chúng tôi về Symbiote là từ tháng 2021 năm XNUMX và có vẻ như nó đã được viết để nhắm mục tiêu vào lĩnh vực tài chính ở Mỹ Latinh. Khi phần mềm độc hại đã lây nhiễm vào máy, nó sẽ ẩn chính nó và bất kỳ phần mềm độc hại nào khác được sử dụng bởi tác nhân đe dọa, khiến cho việc lây nhiễm rất khó phát hiện. Thực hiện pháp y trực tiếp trên một máy bị nhiễm virut có thể không tiết lộ bất cứ điều gì, vì phần mềm độc hại ẩn tất cả các tệp, quy trình và cấu trúc mạng. Ngoài khả năng rootkit, phần mềm độc hại cung cấp một cửa sau để kẻ đe dọa đăng nhập với tư cách là bất kỳ người dùng nào trên máy bằng mật khẩu được mã hóa cứng và thực hiện các lệnh có đặc quyền cao nhất.
Trình xử lý cuộc gọi giả mạo ẩn hoạt động liên quan đến cửa sau, chẳng hạn như loại trừ các yếu tố riêng lẻ trong danh sách quy trình, chặn quyền truy cập vào các tệp nhất định trong / proc, ẩn tệp trong thư mục, loại trừ thư viện được chia sẻ độc hại khỏi đầu ra ldd (chức năng thực thi bị chặn và các cuộc gọi được phân tích cú pháp bằng biến môi trường LD_TRACE_LOADED_OBJECTS) không có ổ cắm mạng nào liên quan đến hoạt động độc hại.
symbiote cũng cho phép bỏ qua một số trình quét hoạt động hệ thống tệp, vì hành vi trộm cắp dữ liệu nhạy cảm có thể được thực hiện không phải ở cấp độ mở tệp mà bằng cách chặn hoạt động đọc của các tệp này trong các ứng dụng hợp pháp (ví dụ: các chức năng thay thế thư viện cho phép bạn chặn việc nhập mật khẩu hoặc tệp của người dùng được tải từ dữ liệu tệp khóa truy cập).
Vì nó cực kỳ khó nắm bắt, một sự lây nhiễm Symbiote có khả năng "bay dưới tầm ngắm". Trong cuộc điều tra của mình, chúng tôi không tìm thấy đủ bằng chứng để xác định liệu Symbiote đang được sử dụng trong các cuộc tấn công có mục tiêu rộng hay nhắm mục tiêu cao.
Để tổ chức đăng nhập từ xa, Symbiote chặn một số cuộc gọi PAM (Mô-đun xác thực có thể cài đặt), cho phép bạn kết nối với hệ thống thông qua SSH với các thông tin xác thực tấn công nhất định. Ngoài ra còn có một tùy chọn ẩn để nâng cao đặc quyền của bạn lên root bằng cách đặt biến môi trường HTTP_SETTHIS.
Để bảo vệ khỏi sự kiểm tra lưu lượng, các chức năng của thư viện libpcap được xác định lại, việc đọc / proc / net / tcp được lọc và mã bổ sung được chèn vào các chương trình BPF được tải vào hạt nhân.
Cuối cùng nếu bạn muốn biết thêm về nó về ghi chú, bạn có thể tham khảo bài viết gốc trong liên kết theo dõi.