Istraživači iz Intezera i BlackBerryja otkrili su zlonamjerni softver kodnog naziva Simbiote, koji se koristi za ubacivanje backdoor-a i rootkita u kompromitovane servere koji koriste Linux. Malware je otkriven na sistemima finansijskih institucija u nekoliko zemalja Latinske Amerike. Da bi instalirao Simbiote na sistem, napadač mora imati root pristup, koji se može dobiti, na primjer, kao rezultat iskorištavanja nezakrpljenih ranjivosti ili curenja naloga. Simbiote vam omogućava da konsolidujete svoje prisustvo u sistemu nakon hakovanja da izvršite dalje napade, sakrijete aktivnost drugih zlonamernih aplikacija i organizujete presretanje poverljivih podataka.
Posebna karakteristika Simbiote-a je da se distribuira u obliku dijeljene biblioteke, koja se učitava prilikom pokretanja svih procesa pomoću mehanizma LD_PRELOAD i zamjenjuje neke pozive standardne biblioteke. Lažni rukovaoci pozivima skrivaju aktivnosti povezane sa backdoor-om, kao što je isključivanje određenih stavki na listi procesa, blokiranje pristupa određenim datotekama u /proc, skrivanje datoteka u direktorijima, isključivanje zlonamjerne dijeljene biblioteke u ldd izlazu (otimanje funkcije execve i analiziranje poziva pomoću varijabla okruženja LD_TRACE_LOADED_OBJECTS) ne prikazuju mrežne utičnice povezane sa zlonamjernom aktivnošću.
Radi zaštite od inspekcije prometa, funkcije biblioteke libpcap su redefinirane, /proc/net/tcp filtriranje čitanja i eBPF program se učitava u kernel, koji sprječava rad analizatora prometa i odbacuje zahtjeve treće strane vlastitim mrežnim rukovaocima. Program eBPF se pokreće među prvim procesorima i izvršava se na najnižem nivou mrežnog steka, što vam omogućava da sakrijete mrežnu aktivnost backdoor-a, uključujući i kasnije pokrenute analizatore.
Simbiote vam takođe omogućava da zaobiđete neke analizatore aktivnosti u sistemu datoteka, jer se krađa povjerljivih podataka može izvršiti ne na nivou otvaranja datoteka, već presretanjem operacija čitanja iz ovih datoteka u legitimnim aplikacijama (na primjer, zamjena biblioteke funkcije vam omogućavaju da presretnete korisnika koji unosi lozinku ili učitava podatke iz datoteke pomoću pristupnog ključa). Da bi organizirao udaljenu prijavu, Simbiote presreće neke PAM pozive (Pluggable Authentication Module), što vam omogućava da se povežete na sistem preko SSH-a sa određenim napadačkim vjerodajnicama. Postoji i skrivena opcija da povećate svoje privilegije root korisniku postavljanjem varijable okruženja HTTP_SETTHIS.
izvor: opennet.ru