Investigadors d'Intezer i BlackBerry han descobert programari maliciós amb el nom en codi Simbiote, que s'utilitza per injectar portes posteriors i rootkits en servidors compromesos amb Linux. S'ha detectat programari maliciós als sistemes de les institucions financeres de diversos països d'Amèrica Llatina. Per instal·lar Simbiote en un sistema, un atacant ha de tenir accés root, que es pot obtenir, per exemple, com a resultat de l'explotació de vulnerabilitats sense pegats o filtracions de comptes. Simbiote us permet consolidar la vostra presència al sistema després de piratejar per dur a terme més atacs, amagar l'activitat d'altres aplicacions malicioses i organitzar la intercepció de dades confidencials.
Una característica especial de Simbiote és que es distribueix en forma de biblioteca compartida, que es carrega durant l'inici de tots els processos mitjançant el mecanisme LD_PRELOAD i substitueix algunes trucades a la biblioteca estàndard. Els gestors de trucades falsificats amaguen l'activitat relacionada amb la porta del darrere, com ara excloure elements específics de la llista de processos, bloquejar l'accés a determinats fitxers a /proc, amagar fitxers als directoris, excloure la biblioteca compartida maliciosa a la sortida ldd (segrest de la funció execve i analitzant trucades amb un variable d'entorn LD_TRACE_LOADED_OBJECTS) no mostren els sòcols de xarxa associats amb activitat maliciosa.
Per protegir-se de la inspecció del trànsit, es redefinien les funcions de la biblioteca libpcap, el filtratge de lectura /proc/net/tcp i es carrega un programa eBPF al nucli, que impedeix el funcionament dels analitzadors de trànsit i descarta les sol·licituds de tercers als seus propis gestors de xarxa. El programa eBPF es llança entre els primers processadors i s'executa al nivell més baix de la pila de xarxa, la qual cosa us permet ocultar l'activitat de xarxa de la porta posterior, fins i tot dels analitzadors llançats més tard.
Simbiote també permet obviar alguns analitzadors d'activitat del sistema de fitxers, ja que el robatori de dades confidencials es pot dur a terme no a nivell d'obertura de fitxers, sinó mitjançant la interceptació d'operacions de lectura d'aquests fitxers en aplicacions legítimes (per exemple, substitució de biblioteca). funcions permet interceptar l'usuari introduint una contrasenya o carregant dades d'un fitxer amb clau d'accés). Per organitzar l'inici de sessió remot, Simbiote intercepta algunes trucades PAM (Mòdul d'autenticació connectable), que us permet connectar-vos al sistema mitjançant SSH amb certes credencials d'atac. També hi ha una opció oculta per augmentar els vostres privilegis a l'usuari root mitjançant la configuració de la variable d'entorn HTTP_SETTHIS.
Font: opennet.ru