Даследнікі з кампаній Intezer і BlackBerry выявілі шкоднаснае ПА, якое атрымала кодавае імя Simbiote і выкарыстоўванае для ўкаранення бэкдораў і rootkit-ов на скампраметаваныя серверы, якія працуюць пад кіраваннем Linux. Шкоднаснае ПЗ было выяўлена на сістэмах фінансавых устаноў шэрагу краін Лацінскай Амерыкі. Для ўсталёўкі Simbiote у сістэму атакавалы павінен мець root-доступ, які можа быць атрыманы, напрыклад, у выніку эксплуатацыі невыпраўленых уразлівасцяў ці ўцечкі ўліковых запісаў. Simbiote дазваляе замацаваць сваю прысутнасць у сістэме пасля ўзлому для правядзення наступных нападаў, утойванні актыўнасці іншых шкоднасных прыкладанняў і арганізацыі перахопу канфідэнцыйных дадзеных.
Асаблівасцю Simbiote з'яўляецца распаўсюджванне ў форме падзяляемай бібліятэкі, якая падгружаецца падчас запуску ўсіх працэсаў пры дапамозе механізму LD_PRELOAD і падмяняе некаторыя выклікі стандартнай бібліятэкі. Апрацоўшчыкі падмененых выклікаў хаваюць злучаную з бэкдорам актыўнасць, напрыклад, выняткоўваюць асобныя элементы ў спісе працэсаў, блакуюць доступ да вызначаных файлаў у /proc, хаваюць файлы ў каталогах, выняткоўваюць шкоднасную падзяляную бібліятэку ў выснове ldd (выконваецца перахоп функцыі execve і аналіз выклікаў LD_TRACE_LOADED_OBJECTS), не паказваюць звязаныя з шкоднаснай актыўнасцю сеткавыя сокеты.
Для абароны ад інспектавання трафіку ажыццяўляецца перавызначэнне функцый бібліятэкі libpcap, фільтраванне чытання /proc/net/tcp і загрузка ў ядро eBPF-праграмы, якая перашкаджае працы аналізатараў трафіку і адкідае іншыя запыты да ўласных сеткавых апрацоўшчыкаў. eBPF-праграма запускаецца ў ліку першых апрацоўшчыкаў і выконваецца на самым нізкім узроўні сеткавага стэка, што дазваляе схаваць сеткавую актыўнасць бэкдора у тым ліку ад аналізатараў, запушчаных пазней.
Simbiote таксама дазваляе абыйсці некаторыя аналізатары актыўнасці ў файлавай сістэме, бо крадзеж канфідэнцыйных дадзеных можа ажыццяўляцца не на ўзроўні адкрыцця файлаў, а праз перахоп аперацый чытання з гэтых файлаў у легітымных прыкладаннях (напрыклад, падмена бібліятэчных функцый дазваляе перахапіць увод карыстачом пароля ці загружаныя з файла дадзеныя з ключом доступу). Для арганізацыі выдаленага ўваходу Simbiote перахапляе некаторыя PAM-выклікі (Pluggable Authentication Module), што дазваляе падлучыцца да сістэмы праз SSH з пэўнымі атакавальнымі ўліковымі дадзенымі. Прадугледжана таксама ўтоеная магчымасць падвышэння сваіх прывілеяў да карыстача root праз усталёўку зменнай асяроддзя HTTP_SETTHIS.
Крыніца: opennet.ru