اكتشف باحثون من Intezer وBlackBerry برنامجًا ضارًا يحمل الاسم الرمزي Simbiote، والذي يُستخدم لحقن الأبواب الخلفية والجذور الخفية في الخوادم المخترقة التي تعمل بنظام التشغيل Linux. تم اكتشاف برامج ضارة على أنظمة المؤسسات المالية في العديد من دول أمريكا اللاتينية. لتثبيت Simbiote على النظام، يجب أن يكون لدى المهاجم حق الوصول إلى الجذر، والذي يمكن الحصول عليه، على سبيل المثال، نتيجة لاستغلال الثغرات الأمنية غير المصححة أو تسريبات الحساب. يتيح لك Simbiote تعزيز تواجدك في النظام بعد الاختراق لتنفيذ المزيد من الهجمات وإخفاء نشاط التطبيقات الضارة الأخرى وتنظيم اعتراض البيانات السرية.
من ميزات Simbiote الخاصة أنه يتم توزيعه في شكل مكتبة مشتركة، يتم تحميلها أثناء بدء تشغيل جميع العمليات باستخدام آلية LD_PRELOAD واستبدال بعض الاستدعاءات للمكتبة القياسية. تقوم معالجات المكالمات المخادعة بإخفاء الأنشطة ذات الصلة بالباب الخلفي، مثل استبعاد عناصر محددة في قائمة العمليات، وحظر الوصول إلى ملفات معينة في /proc، وإخفاء الملفات في الدلائل، واستبعاد المكتبة المشتركة الضارة في مخرجات ldd (اختطاف وظيفة execve وتحليل المكالمات باستخدام متغير البيئة LD_TRACE_LOADED_OBJECTS) لا يُظهر مآخذ الشبكة المرتبطة بالنشاط الضار.
للحماية من فحص حركة المرور، يتم إعادة تعريف وظائف مكتبة libpcap، وتصفية القراءة /proc/net/tcp ويتم تحميل برنامج eBPF في النواة، مما يمنع تشغيل محللي حركة المرور ويتجاهل طلبات الطرف الثالث إلى معالجات الشبكة الخاصة به. تم إطلاق برنامج eBPF بين المعالجات الأولى ويتم تنفيذه على أدنى مستوى لمكدس الشبكة، مما يسمح لك بإخفاء نشاط الشبكة الخاص بالباب الخلفي، بما في ذلك من المحللين الذين تم إطلاقهم لاحقًا.
يسمح لك Simbiote أيضًا بتجاوز بعض محللي النشاط في نظام الملفات، نظرًا لأن سرقة البيانات السرية لا يمكن تنفيذها على مستوى فتح الملفات، ولكن من خلال اعتراض عمليات القراءة من هذه الملفات في التطبيقات المشروعة (على سبيل المثال، استبدال المكتبة تسمح لك الوظائف باعتراض دخول المستخدم لكلمة المرور أو التحميل من بيانات الملف باستخدام مفتاح الوصول). لتنظيم تسجيل الدخول عن بعد، يعترض Simbiote بعض مكالمات PAM (وحدة المصادقة القابلة للتوصيل)، والتي تسمح لك بالاتصال بالنظام عبر SSH باستخدام بيانات اعتماد مهاجمة معينة. يوجد أيضًا خيار مخفي لزيادة الامتيازات الخاصة بك للمستخدم الجذر عن طريق تعيين متغير البيئة HTTP_SETTHIS.
المصدر: opennet.ru