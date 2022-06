Nowe złośliwe oprogramowanie na system Linuks sprawnie omija zabezpieczenia i jest bardzo trudne do wykrycia. Może stanowić zagrożenie dla najważniejszych sieci korporacyjnych.

Niedawno odkryte złośliwe oprogramowanie atakujące system Linux, znane jako Symbiote, infekuje wszystkie uruchomione procesy w systemach, kradnie dane uwierzytelniające kont i otwiera „tylne drzwi” (backdoor) dla cyberprzestępców. Po zainfekowaniu uruchomionych procesów Symbiote działa jak wirus ogólnosystemowy, nie pozostawiając żadnych możliwych do zidentyfikowania oznak ataku nawet podczas drobiazgowych, dogłębnych inspekcji.

Symbiote wykorzystuje hooking BPF (Berkeley Packet Filter) do przechwytywania pakietów danych przesyłanych w sieci i ukrywania własnych kanałów komunikacji przed narzędziami antywirusowymi. To nowe zagrożenie zostało odkryte i przeanalizowane przez badaczy z firm BlackBerry i Intezer Labs, którzy wspólnie pracowali nad tym oprogramowaniem i opisali je w szczegółowym raporcie. Według autorów, Symbiote aktywnie rozwija się od zeszłego roku.

Infekcja całego systemu przez obiekty współdzielone

Symbiote nie jest typowym plikiem wykonywalnym, tylko biblioteką obiektów współdzielonych (SO) ładowaną do uruchomionych procesów za pomocą dyrektywy LD_PRELOAD, aby uzyskać priorytet w stosunku do innych SO. Ładując się jako pierwsza, Symbiote może przechwycić funkcje bibliotek „libc” i „libpcap” i wykonać różne działania w celu ukrycia swojej obecności. Może to być ukrywanie procesów pasożytniczych, ukrywanie plików itd.

Wszystkie sztuczki z ukrywaniem używane przez Symbiote

– Kiedy Symbiote wstrzykuje się do procesów, może wybrać, jakie wyniki wyświetli – ujawnili analitycy w opublikowanym dzisiaj raporcie.

– Jeśli administrator rozpocznie przechwytywanie pakietów na zainfekowanej maszynie, aby zbadać podejrzany ruch sieciowy, Symbiote wstrzyknie się do procesu oprogramowania inspekcyjnego i użyje podpinania BPF w celu odfiltrowania wyników, które ujawniłyby jego aktywność – piszą badacze.

Aby ukryć swoje złośliwe działanie na zaatakowanej maszynie, Symbiote usuwa ślady swoich połączeń sieciowych, filtruje pakiety przez BPF i usuwa ruch UDP do domen ze swojej listy.

Backdoory i kradzież danych

Oprogramowanie Symbiote jest używane głównie do automatycznego zbierania danych uwierzytelniających ze zhakowanych urządzeń z systemem Linux poprzez podpięcie funkcji „libc read”. Jest to duże zagrożenie dla serwerów Linux w sieciach o kluczowym znaczeniu, ponieważ kradzież danych uwierzytelniających konta administratora otwiera nieograniczony dostęp do całego systemu i daje możliwość wykonywania dowolnych zadań.

Symbiote zapewnia również swoim operatorom zdalny dostęp SSH do serwerów za pośrednictwem usługi PAM, a także umożliwia przestępcom uzyskanie uprawnień roota w systemie. Obiektem zainteresowania twórców Symbiote są głównie podmioty działające w sektorze finansowym i administracji publicznej w Ameryce Łacińskiej. Cyberprzestępcy atakują brazylijskie banki, policję federalną itp.

– Ponieważ to złośliwe oprogramowanie działa jako rootkit na poziomie użytkownika, wykrycie infekcji może być bardzo trudne – podsumowali badacze.

– Do zwalczania Symbiote można wykorzystać telemetrię sieciową i za jej pomocą wykrywać nietypowe żądania DNS. Narzędzia zabezpieczające, takie jak AV i EDR, powinny być połączone statycznie, aby mieć pewność, że nie zostaną „zainfekowane” przez rootkity z przestrzeni użytkownika – piszą analitycy.

Prawdopodobnie w nadchodzącym okresie przybędzie takich zaawansowanych i sprawnych w omijaniu zabezpieczeń programów jak Symbiote. Będą one coraz częściej wykorzystywane w atakach na systemy Linux, ponieważ duże i ważne sieci korporacyjne najczęściej wykorzystują właśnie ten system operacyjny.

Źródło: BleepingComputer