Navorsers van Intezer en BlackBerry het wanware met die kodenaam Simbiote ontdek, wat gebruik word om agterdeure en rootkits in te spuit in gekompromitteerde bedieners wat Linux gebruik. Wanware is opgespoor op die stelsels van finansiële instellings in verskeie Latyns-Amerikaanse lande. Om Simbiote op 'n stelsel te installeer, moet 'n aanvaller worteltoegang hê, wat byvoorbeeld verkry kan word as gevolg van die ontginning van onverwerkte kwesbaarhede of rekeninglekkasies. Simbiote stel jou in staat om jou teenwoordigheid in die stelsel te konsolideer na inbraak om verdere aanvalle uit te voer, die aktiwiteit van ander kwaadwillige toepassings weg te steek en die onderskepping van vertroulike data te organiseer.
'n Spesiale kenmerk van Simbiote is dat dit versprei word in die vorm van 'n gedeelde biblioteek, wat gelaai word tydens die aanvang van alle prosesse deur die LD_PRELOAD-meganisme te gebruik en sommige oproepe na die standaardbiblioteek vervang. Vervalste oproephanteerders versteek agterdeurverwante aktiwiteit, soos om spesifieke items in die proseslys uit te sluit, toegang tot sekere lêers in /proc te blokkeer, lêers in gidse weg te steek, kwaadwillige gedeelde biblioteek in ldd-uitvoer uit te sluit (kaap van die execve-funksie en ontleding van oproepe met 'n omgewingsveranderlike LD_TRACE_LOADED_OBJECTS) wys nie netwerksokke wat met kwaadwillige aktiwiteit geassosieer word nie.
Om teen verkeersinspeksie te beskerm, word die libpcap-biblioteekfunksies herdefinieer, /proc/net/tcp leesfiltrering en 'n eBPF-program word in die kern gelaai, wat die werking van verkeersontleders verhoed en derdeparty-versoeke na sy eie netwerkhanteerders weggooi. Die eBPF-program word onder die eerste verwerkers geloods en word op die laagste vlak van die netwerkstapel uitgevoer, wat jou toelaat om die netwerkaktiwiteit van die agterdeur te verberg, insluitend van ontleders wat later bekendgestel is.
Simbiote laat jou ook toe om sommige aktiwiteitsanaliseerders in die lêerstelsel te omseil, aangesien die diefstal van vertroulike data nie uitgevoer kan word op die vlak van die opening van lêers nie, maar deur leesbewerkings van hierdie lêers in wettige toepassings te onderskep (byvoorbeeld vervanging van biblioteek funksies laat jou toe om die gebruiker te onderskep wat 'n wagwoord invoer of vanaf 'n lêer data met toegangsleutel laai). Om afgeleë aanmelding te organiseer, onderskep Simbiote sommige PAM-oproepe (Pluggable Authentication Module), wat jou in staat stel om via SSH met sekere aanvallende geloofsbriewe aan die stelsel te koppel. Daar is ook 'n versteekte opsie om jou voorregte aan die wortelgebruiker te verhoog deur die HTTP_SETTHIS omgewingsveranderlike in te stel.
Bron: opennet.ru