Výzkumníci z Intezer a BlackBerry objevili malware s kódovým označením Simbiote, který se používá k vkládání backdoorů a rootkitů do kompromitovaných serverů s Linuxem. Malware byl detekován v systémech finančních institucí v několika zemích Latinské Ameriky. Pro instalaci Simbiote do systému musí mít útočník přístup root, který lze získat například v důsledku zneužití neopravených zranitelností nebo úniků účtů. Simbiote vám umožňuje konsolidovat vaši přítomnost v systému po hackování, abyste provedli další útoky, skryli aktivitu jiných škodlivých aplikací a zorganizovali zachycení důvěrných dat.
Zvláštností Simbiote je, že je distribuován ve formě sdílené knihovny, která se načítá při startu všech procesů pomocí mechanismu LD_PRELOAD a nahrazuje některá volání standardní knihovny. Obslužné programy falešných hovorů skrývají aktivity související se zadními vrátky, jako je vyloučení konkrétních položek ze seznamu procesů, blokování přístupu k určitým souborům v /proc, skrývání souborů v adresářích, vyloučení škodlivé sdílené knihovny ve výstupu ldd (zneužití funkce execve a analýza volání pomocí proměnná prostředí LD_TRACE_LOADED_OBJECTS) nezobrazují síťové zásuvky spojené se škodlivou aktivitou.
Pro ochranu před inspekcí provozu jsou předefinovány funkce knihovny libpcap, filtrování čtení /proc/net/tcp a do jádra je nahrán program eBPF, který zabraňuje provozu analyzátorů provozu a zahazuje požadavky třetích stran na jeho vlastní síťové ovladače. Program eBPF se spouští mezi prvními procesory a je spouštěn na nejnižší úrovni síťového zásobníku, což umožňuje skrýt síťovou aktivitu backdoor, a to i před analyzátory spuštěnými později.
Simbiote také umožňuje obejít některé analyzátory aktivity v souborovém systému, protože krádež důvěrných dat nelze provést na úrovni otevírání souborů, ale prostřednictvím zachycení operací čtení z těchto souborů v legitimních aplikacích (například nahrazení knihovny vám umožní zachytit uživatele při zadávání hesla nebo načítání dat ze souboru pomocí přístupového klíče). Pro organizaci vzdáleného přihlášení Simbiote zachycuje některá volání PAM (Pluggable Authentication Module), což vám umožňuje připojit se k systému přes SSH s určitými útočnými pověřeními. Existuje také skrytá možnost, jak zvýšit svá oprávnění pro uživatele root nastavením proměnné prostředí HTTP_SETTHIS.
Zdroj: opennet.ru