Ένα κακόβουλο λογισμικό Linux που ανακαλύφθηκε πρόσφατα, γνωστό ως Symbiote μολύνει όλα τα running processes που εκτελούνται σε παραβιασμένα συστήματα, κλέβει τα account credentials και παρέχει στους χειριστές του backdoor πρόσβαση.
Δείτε επίσης: Black Basta ransomware: Η έκδοση Linux στοχεύει διακομιστές VMware ESXi
Αφού εγχυθεί σε όλες τις διεργασίες που εκτελούνται, το malware λειτουργεί ως παράσιτο σε όλο το σύστημα, χωρίς να αφήνει αναγνωρίσιμα σημάδια μόλυνσης ακόμη και κατά τη διάρκεια σχολαστικών επιθεωρήσεων σε βάθος.
Το Symbiote χρησιμοποιεί τη λειτουργία BPF (Berkeley Packet Filter) hooking για να κάνει sniff πακέτα δεδομένων δικτύου και να κρύβει τα δικά της κανάλια επικοινωνίας από εργαλεία ασφαλείας.
Αυτή η νέα απειλή ανακαλύφθηκε και αναλύθηκε από ερευνητές της BlackBerry και της Intezer Labs, οι οποίοι συνεργάστηκαν για να αποκαλύψουν όλες τις πτυχές του νέου malware σε μια λεπτομερή τεχνική αναφορά. Σύμφωνα με αυτούς, το Symbiote βρίσκεται υπό ενεργό ανάπτυξη από πέρυσι.
Μόλυνση σε όλο το σύστημα μέσω κοινόχρηστων αντικειμένων
Αντί να έχει την τυπική μορφή ενός εκτελέσιμου αρχείου, το Symbiote είναι μια βιβλιοθήκη κοινόχρηστου αντικειμένου (SO) που φορτώνεται σε running processes χρησιμοποιώντας την οδηγία LD_PRELOAD για να αποκτήσει προτεραιότητα έναντι άλλων SO.
Με το να είναι το πρώτο που θα φορτώσει, το Symbiote μπορεί να συνδέσει τις λειτουργίες “libc” και “libpcap” και να εκτελέσει διάφορες ενέργειες για να αποκρύψει την παρουσία του, όπως απόκρυψη παρασιτικών διεργασιών, απόκρυψη αρχείων που αναπτύσσονται με το malware και πολλά άλλα.
Δείτε επίσης: Πως να εγκαταστήσετε τα Linux σε Windows με το VirtualBox;
«Όταν γίνεται inject σε processes, το malware μπορεί να επιλέξει ποια αποτελέσματα θα εμφανίσει», αποκάλυψαν οι ερευνητές ασφαλείας σε μια έκθεση που δημοσιεύτηκε σήμερα.
“Εάν ένας διαχειριστής ξεκινήσει μια σύλληψη πακέτων στο μολυσμένο μηχάνημα για να διερευνήσει κάποια ύποπτη κίνηση δικτύου, το Symbiote θα εισχωρήσει στη διαδικασία του λογισμικού επιθεώρησης και θα χρησιμοποιήσει το BPF hooking για να φιλτράρει αποτελέσματα που θα αποκάλυπταν τη δραστηριότητά του.”
Για να αποκρύψει την κακόβουλη δικτυακή του δραστηριότητα στο παραβιασμένο μηχάνημα, το Symbiote καθαρίζει τα connection entries που θέλει να κρύψει, εκτελεί packet filtering μέσω BPF και αφαιρεί το UDP traffic σε domain names στη λίστα του.
Backdoors και κλοπή δεδομένων
Αυτό το νέο malware χρησιμοποιείται κυρίως για την αυτοματοποιημένη συλλογή credential από παραβιασμένες συσκευές Linux, κάνοντας hook τη λειτουργία “libc read”.
Αυτή είναι μια κρίσιμη αποστολή κατά τη στόχευση server Linux σε δίκτυα υψηλής αξίας, καθώς η κλοπή admin account credentials ανοίγει το δρόμο για ανεμπόδιστη πλευρική κίνηση και απεριόριστη πρόσβαση σε ολόκληρο το σύστημα.
Το Symbiote παρέχει στους χειριστές του και απομακρυσμένη πρόσβαση SHH στο μηχάνημα μέσω της υπηρεσίας PAM, ενώ παρέχει και έναν τρόπο στον απειλητικό παράγοντα να αποκτήσει δικαιώματα root στο σύστημα.
Δείτε επίσης: Linux ransomware «Cheers»: Στοχεύει διακομιστές VMware ESXi
Οι στόχοι του κακόβουλου λογισμικού είναι ως επί το πλείστον οντότητες που ασχολούνται με τον χρηματοπιστωτικό τομέα στη Λατινική Αμερική, που υποδύονται τις τράπεζες της Βραζιλίας, την ομοσπονδιακή αστυνομία της χώρας κ.λπ.
Τέτοιες προηγμένες απειλές που χρησιμοποιούνται σε επιθέσεις εναντίον συστημάτων Linux αναμένεται να αυξηθούν σημαντικά την επόμενη περίοδο, καθώς μεγάλα και πολύτιμα εταιρικά δίκτυα χρησιμοποιούν εκτενώς αυτήν την αρχιτεκτονική.
Πηγή πληροφοριών: bleepingcomputer.com
