Un program malware Linux recent descoperit, cunoscut sub numele de Symbiote, infectează toate procesele care rulează pe sistemele compromise, sustrage acreditările contului și oferă operatorilor săi acces la sistem.
După ce se injectează în toate procesele care rulează, malware-ul acționează ca un parazit la nivelul întregului sistem, fără a lăsa semne identificabile de infecție, nici în timpul inspecțiilor meticuloase.
Symbiote folosește funcționalitatea de conectare BPF (Berkeley Packet Filter) pentru a detecta pachetele de date din rețea și pentru a-și ascunde propriile canale de comunicare.
Această nouă amenințare a fost descoperită și analizată de cercetătorii BlackBerry și Intezer Labs, care au lucrat împreună pentru a descoperi toate aspectele noului malware. Potrivit acestora, Symbiote a fost în dezvoltare activă încă de anul trecut.
Infecție la nivelul întregului sistem prin obiecte partajate
În loc să aibă forma tipică a unui executabil, Symbiote este o bibliotecă de obiecte partajate (SO) care se încarcă în procesele care rulează, folosind directiva LD_PRELOAD pentru a câștiga prioritate.
Fiind primul care se încarcă, Symbiote poate conecta funcțiile „libc” și „libpcap” și poate efectua diverse acțiuni pentru a-și ascunde prezența, cum ar fi ascunderea proceselor parazitare, ascunderea fișierelor infectate cu malware și multe altele.
„Când se injectează în procese, malware-ul poate alege rezultatele pe care le afișează. De exemplu, dacă un administrator începe o captură de pachete pe mașina infectată pentru a investiga traficul suspect în rețea, Symbiote se va injecta în procesul software-ului de inspecție și va folosi conectarea BPF pentru a filtra rezultatele care i-ar dezvălui activitatea”, au dezvăluit cercetătorii de securitate.
Pentru a-și ascunde activitatea de rețea rău intenționată pe mașina compromisă, Symbiote șterge intrările de conexiune pe care dorește să le ascundă, efectuează filtrarea pachetelor prin BPF și elimină traficul UDP către numele de domenii din lista sa.
Acest nou malware ascuns este folosit în principal pentru colectarea automată a acreditărilor de pe dispozitivele Linux piratate, prin conectarea funcției „libc read”.
Aceasta este un pericol uriaș atunci când sunt țintite serverele Linux în rețele de mare valoare, deoarece furtul acreditărilor contului de administrator deschide calea către mișcare neobstrucționată și acces nelimitat la întregul sistem.
De asemenea, Symbiote oferă operatorilor săi acces SHH de la distanță prin serviciul PAM, dar și o modalitate pentru ca actorul amenințării să obțină privilegii de root pe sistem.
Până in prezent, țintele malware-ului sunt în mare parte entități din sectorul financiar din America Latină, bănci braziliene, poliția federală a țării etc.
„Deoarece malware-ul funcționează ca un rootkit la nivel de utilizator, detectarea unei infecții poate fi dificilă. Telemetria de rețea poate fi utilizată pentru a detecta solicitările DNS anormale, iar instrumentele de securitate precum AV și EDR-urile ar trebui să fie blocate static pentru a se asigura că nu sunt „infectate” de rootkit-uri”, au concluzionat cercetătorii.
Este de așteptat ca astfel de amenințări avansate și extrem de evazive, utilizate în atacurile împotriva sistemelor Linux, să se înmulțească semnificativ în perioada următoare, deoarece rețelele corporațiilor mari și valoroase folosesc această arhitectură pe scară largă.
Luna trecută, un alt backdoor similar, denumit BPFDoor, a fost depistat că utiliza BPF (Berkeley Packet Filter) pentru a asculta pasiv traficul de rețea de intrare și de ieșire pe gazdele infectate.
Trimiteți un comentariu
☑ Comentariile conforme cu regulile comunității vor fi aprobate în maxim 10 ore.