Mae ymchwilwyr o Intezer a BlackBerry wedi darganfod malware wedi'i godio o'r enw Simbiote, a ddefnyddir i chwistrellu drysau cefn a rootkits i weinyddion dan fygythiad sy'n rhedeg Linux. Canfuwyd meddalwedd faleisus ar systemau sefydliadau ariannol mewn sawl gwlad yn America Ladin. I osod Simbiote ar system, rhaid i ymosodwr gael mynediad gwreiddiau, y gellir ei gael, er enghraifft, o ganlyniad i fanteisio ar wendidau heb eu hail neu ollyngiadau cyfrif. Mae Simbiote yn caniatáu ichi atgyfnerthu'ch presenoldeb yn y system ar ôl hacio i gyflawni ymosodiadau pellach, cuddio gweithgaredd cymwysiadau maleisus eraill a threfnu rhyng-gipio data cyfrinachol.
Nodwedd arbennig o Simbiote yw ei fod yn cael ei ddosbarthu ar ffurf llyfrgell a rennir, sy'n cael ei lwytho yn ystod cychwyn pob proses gan ddefnyddio'r mecanwaith LD_PRELOAD ac yn disodli rhai galwadau i'r llyfrgell safonol. Mae trinwyr galwadau ffug yn cuddio gweithgaredd sy'n gysylltiedig â drws cefn, megis eithrio eitemau penodol yn y rhestr broses, rhwystro mynediad i rai ffeiliau yn /proc, cuddio ffeiliau mewn cyfeiriaduron, ac eithrio llyfrgell a rennir maleisus mewn allbwn ldd (herwgipio'r swyddogaeth execve a dadansoddi galwadau ag a newidyn amgylchedd LD_TRACE_LOADED_OBJECTS) ddim yn dangos socedi rhwydwaith sy'n gysylltiedig â gweithgaredd maleisus.
Er mwyn amddiffyn rhag archwilio traffig, mae swyddogaethau llyfrgell libpcap yn cael eu hailddiffinio, hidlo darllen /proc/net/tcp a chaiff rhaglen eBPF ei llwytho i'r cnewyllyn, sy'n atal gweithrediad dadansoddwyr traffig ac yn taflu ceisiadau trydydd parti i'w drinwyr rhwydwaith ei hun. Mae'r rhaglen eBPF yn cael ei lansio ymhlith y proseswyr cyntaf ac fe'i gweithredir ar lefel isaf y pentwr rhwydwaith, sy'n eich galluogi i guddio gweithgaredd rhwydwaith y drws cefn, gan gynnwys rhag dadansoddwyr a lansiwyd yn ddiweddarach.
Mae Simbiote hefyd yn caniatáu ichi osgoi rhai dadansoddwyr gweithgaredd yn y system ffeiliau, gan y gellir dwyn data cyfrinachol nid ar lefel agor ffeiliau, ond trwy ryng-gipio gweithrediadau darllen o'r ffeiliau hyn mewn cymwysiadau cyfreithlon (er enghraifft, amnewid llyfrgell swyddogaethau yn eich galluogi i ryng-gipio'r defnyddiwr yn mynd i mewn i gyfrinair neu lwytho o ddata ffeil gydag allwedd mynediad). I drefnu mewngofnodi o bell, mae Simbiote yn rhyng-gipio rhai galwadau PAM (Modiwl Dilysu Plygadwy), sy'n eich galluogi i gysylltu â'r system trwy SSH gyda rhai tystlythyrau ymosodol. Mae yna hefyd opsiwn cudd i gynyddu eich breintiau i'r defnyddiwr gwraidd trwy osod y newidyn amgylchedd HTTP_SETTHIS.
Ffynhonnell: opennet.ru