“Intezer” və “BlackBerry” şirkətlərinin tədqiqatçıları “Linux” əməliyyat sistemi ilə işləyən təhlükəli serverlərə “backdoor” və “rootkit”lər yeritmək üçün istifadə edilən Simbiote kod adlı zərərli proqram aşkar ediblər. Bir sıra Latın Amerikası ölkələrinin maliyyə institutlarının sistemlərində zərərli proqram aşkarlanıb. Simbiote-u sistemə quraşdırmaq üçün təcavüzkarın kök girişi olmalıdır ki, bu, məsələn, yamaqsız zəifliklərdən və ya hesab sızmasından istifadə nəticəsində əldə edilə bilər. Simbiote növbəti hücumlar həyata keçirmək, digər zərərli proqramların fəaliyyətini gizlətmək və məxfi məlumatların ələ keçirilməsini təşkil etmək üçün sındırıldıqdan sonra sistemdə mövcudluğunuzu birləşdirməyə imkan verir.
Simbiote-nin özəlliyi ondan ibarətdir ki, o, LD_PRELOAD mexanizmindən istifadə etməklə bütün proseslərin işə salınması zamanı yüklənən və standart kitabxanaya bəzi zəngləri əvəz edən ümumi kitabxana şəklində paylanır. Saxta zəng idarəçiləri proses siyahısındakı xüsusi elementləri istisna etmək, /proc-da müəyyən fayllara girişi bloklamaq, kataloqlarda faylları gizlətmək, ldd çıxışında zərərli paylaşılan kitabxananı istisna etmək (execve funksiyasını oğurlamaq və zəngləri təhlil etmək) kimi arxa qapı ilə əlaqəli fəaliyyəti gizlədirlər. mühit dəyişəni LD_TRACE_LOADED_OBJECTS) zərərli fəaliyyətlə əlaqəli şəbəkə yuvalarını göstərmir.
Trafikin yoxlanılmasından qorunmaq üçün libpcap kitabxanasının funksiyaları yenidən müəyyən edilir, /proc/net/tcp oxu filtrasiyası və eBPF proqramı nüvəyə yüklənir ki, bu da trafik analizatorlarının işləməsinə mane olur və üçüncü tərəf sorğularını öz şəbəkə işləyicilərinə rədd edir. eBPF proqramı ilk prosessorlar arasında işə salınır və şəbəkə yığınının ən aşağı səviyyəsində yerinə yetirilir ki, bu da arxa qapının şəbəkə fəaliyyətini, o cümlədən sonradan işə salınan analizatorlardan gizlətməyə imkan verir.
Simbiote həmçinin fayl sistemindəki bəzi fəaliyyət analizatorlarından yan keçməyə imkan verir, çünki məxfi məlumatların oğurlanması faylların açılması səviyyəsində deyil, qanuni tətbiqlərdə bu fayllardan oxunma əməliyyatlarının tutulması (məsələn, kitabxananın dəyişdirilməsi) yolu ilə həyata keçirilə bilər. funksiyaları parol daxil edən və ya giriş düyməsi ilə fayldan məlumat yükləyən istifadəçinin qarşısını almağa imkan verir). Uzaqdan girişi təşkil etmək üçün Simbiote bəzi PAM zənglərini (Pluggable Authentication Module) ələ keçirir ki, bu da sizə müəyyən hücum etimadnamələri ilə SSH vasitəsilə sistemə qoşulmağa imkan verir. HTTP_SETTHIS mühit dəyişənini təyin etməklə kök istifadəçiyə imtiyazlarınızı artırmaq üçün gizli seçim də var.
Mənbə: opennet.ru