I ricercatori di Intezer è BlackBerry anu scupertu u malware in codice Simbiote, chì hè utilizatu per injectà backdoors è rootkits in servitori cumprumessi cù Linux. Malware hè statu rilevatu nantu à i sistemi di l'istituzioni finanziarii in parechji paesi di l'America Latina. Per installà Simbiote nantu à un sistema, un attaccu deve avè un accessu radicali, chì pò esse acquistatu, per esempiu, in u risultatu di sfruttà e vulnerabilità senza patch o perdite di contu. Simbiote permette di cunsulidà a vostra presenza in u sistema dopu à pirate per fà più attacchi, ammuccià l'attività di altre applicazioni maliziusi è urganizà l'intercepzione di dati cunfidenziale.
Una funziunalità particulari di Simbiote hè chì hè distribuitu in a forma di una libreria cumuna, chì hè caricata durante l'iniziu di tutti i prucessi chì utilizanu u mecanismu LD_PRELOAD è rimpiazza qualchi chjama à a biblioteca standard. I gestori di chiamate falsificate ocultanu l'attività di backdoor, cum'è escludendu elementi specifichi in a lista di processi, bluccà l'accessu à certi fugliali in /proc, nascondendu i fugliali in cartulari, escludendu a libreria spartuta maliciosa in l'output di ldd (pigliate a funzione execve è analizà e chjama cù un variabile d'ambiente LD_TRACE_LOADED_OBJECTS) ùn mostra micca i sockets di rete assuciati cù attività maliciosa.
Per prutezzione di l'ispezione di u trafficu, e funzioni di a libreria libpcap sò ridefinite, /proc/net/tcp filtru di leghje è un prugramma eBPF hè caricatu in u kernel, chì impedisce l'operazione di l'analizzatori di trafficu è scarta e dumande di terzu à i so gestori di rete. U prugramma eBPF hè lanciatu trà i primi prucessori è hè eseguitu à u livellu più bassu di a pila di rete, chì permette di ammuccià l'attività di a reta di u backdoor, cumpresu da l'analizzatori lanciati dopu.
Simbiote permette ancu di scaccià certi analizzatori di attività in u sistema di fugliale, postu chì u furtu di dati cunfidenziale pò esse realizatu micca à u livellu di l'apertura di i schedari, ma attraversu l'interceptazione di l'operazioni di lettura da questi schedari in applicazioni legittimi (per esempiu, sustituzione di biblioteca. funzioni vi permette di intercepte l'utilizatore chì inserisce una password o carica da un schedariu di dati cù chjave d'accessu). Per urganizà u login remota, Simbiote intercepte alcune chjamate PAM (Modulu di Autentificazione Pluggable), chì permette di cunnette à u sistema via SSH cù certi credenziali attaccanti. Ci hè ancu una opzione nascosta per aumentà i vostri privilegii à l'utilizatore root per stabilisce a variabile d'ambiente HTTP_SETTHIS.
Source: opennet.ru