Ang mga tigdukiduki gikan sa Intezer ug BlackBerry nakadiskubre sa malware codenamed Simbiote, nga gigamit sa pag-inject sa backdoors ug rootkits ngadto sa nakompromiso nga mga server nga nagpadagan sa Linux. Ang malware nakit-an sa mga sistema sa mga institusyong pinansyal sa daghang mga nasud sa Latin America. Aron ma-install ang Simbiote sa usa ka sistema, ang usa ka tig-atake kinahanglan adunay gamut nga pag-access, nga mahimo makuha, pananglitan, ingon usa ka sangputanan sa pagpahimulos sa wala ma-patch nga mga kahuyangan o mga pagtulo sa account. Gitugotan ka sa Simbiote nga makonsolida ang imong presensya sa sistema pagkahuman sa pag-hack aron mahimo ang dugang nga mga pag-atake, pagtago sa kalihokan sa ubang mga makadaot nga aplikasyon ug pag-organisar sa interception sa kompidensyal nga datos.
Ang usa ka espesyal nga bahin sa Simbiote mao nga kini giapod-apod sa porma sa usa ka gipaambit nga librarya, nga gikarga sa panahon sa pagsugod sa tanan nga mga proseso gamit ang mekanismo sa LD_PRELOAD ug gipulihan ang pipila ka mga tawag sa standard library. Gitagoan sa mga tigdumala sa mga tawag nga gilimbongan ang backdoor-related nga kalihokan, sama sa dili paglakip sa mga espisipikong butang sa lista sa proseso, pagbabag sa pag-access sa pipila ka mga file sa /proc, pagtago sa mga file sa mga direktoryo, dili apil ang malisyosong shared library sa ldd output (pag-hijack sa execve function ug pag-analisar sa mga tawag gamit ang usa ka environment variable LD_TRACE_LOADED_OBJECTS) wala magpakita ug network sockets nga nalangkit sa malisyoso nga kalihokan.
Aron mapanalipdan batok sa pag-inspeksyon sa trapiko, ang mga gimbuhaton sa librarya sa libpcap gi-redefined, /proc/net/tcp read filtering ug usa ka eBPF nga programa ang gikarga sa kernel, nga nagpugong sa operasyon sa mga traffic analyzer ug nagsalikway sa mga hangyo sa ikatulo nga partido sa kaugalingon nga mga tigdumala sa network. Ang programa sa eBPF gilunsad taliwala sa mga una nga mga processor ug gipatuman sa labing ubos nga lebel sa network stack, nga nagtugot kanimo sa pagtago sa kalihokan sa network sa backdoor, lakip ang mga analista nga gilunsad sa ulahi.
Gitugotan ka usab sa Simbiote nga laktawan ang pipila nga mga analista sa kalihokan sa sistema sa file, tungod kay ang pagpangawat sa kompidensyal nga datos mahimo’g himuon dili sa lebel sa pag-abli sa mga file, apan pinaagi sa pag-intercept sa mga operasyon sa pagbasa gikan sa kini nga mga file sa mga lehitimong aplikasyon (pananglitan, pagpuli sa librarya. Ang mga function nagtugot kanimo sa pag-intercept sa user nga nagsulod sa usa ka password o nag-load gikan sa usa ka file data nga adunay access key). Aron maorganisar ang hilit nga pag-login, ang Simbiote nagpugong sa pipila ka mga tawag sa PAM (Pluggable Authentication Module), nga nagtugot kanimo sa pagkonektar sa sistema pinaagi sa SSH nga adunay pipila nga mga kredensyal sa pag-atake. Adunay usab usa ka tinago nga kapilian aron madugangan ang imong mga pribilehiyo sa gamut nga tiggamit pinaagi sa pagbutang sa HTTP_SETTHIS environment variable.
Source: opennet.ru