Forskere fra Intezer og BlackBerry har opdaget malware med kodenavnet Simbiote, som bruges til at injicere bagdøre og rootkits i kompromitterede servere, der kører Linux. Malware blev opdaget på systemer af finansielle institutioner i flere latinamerikanske lande. For at installere Simbiote på et system skal en angriber have root-adgang, som for eksempel kan opnås som følge af udnyttelse af uoprettede sårbarheder eller kontolæk. Simbiote giver dig mulighed for at konsolidere din tilstedeværelse i systemet efter hacking for at udføre yderligere angreb, skjule aktiviteten af andre ondsindede applikationer og organisere aflytning af fortrolige data.
Et særligt træk ved Simbiote er, at det distribueres i form af et delt bibliotek, som indlæses under opstart af alle processer ved hjælp af LD_PRELOAD-mekanismen og erstatter nogle kald til standardbiblioteket. Forfalskede opkaldsbehandlere skjuler bagdørsrelateret aktivitet, såsom at ekskludere specifikke elementer i proceslisten, blokere adgang til visse filer i /proc, skjule filer i mapper, ekskludere ondsindet delt bibliotek i ldd-output (kapring af execve-funktionen og analysere opkald med en miljøvariablen LD_TRACE_LOADED_OBJECTS) viser ikke netværkssockets forbundet med ondsindet aktivitet.
For at beskytte mod trafikinspektion omdefineres libpcap-bibliotekets funktioner, /proc/net/tcp læsefiltrering og et eBPF-program indlæses i kernen, som forhindrer driften af trafikanalysatorer og kasserer tredjepartsanmodninger til sine egne netværkshandlere. eBPF-programmet lanceres blandt de første processorer og udføres på det laveste niveau af netværksstakken, hvilket giver dig mulighed for at skjule netværksaktiviteten i bagdøren, inklusive fra analysatorer, der blev lanceret senere.
Simbiote giver dig også mulighed for at omgå nogle aktivitetsanalysatorer i filsystemet, da tyveri af fortrolige data ikke kan udføres på niveau med åbning af filer, men ved at opsnappe læseoperationer fra disse filer i legitime applikationer (for eksempel substitution af bibliotek funktioner giver dig mulighed for at opsnappe brugeren, der indtaster en adgangskode eller indlæser fra en fildata med adgangsnøgle). For at organisere fjernlogin opsnapper Simbiote nogle PAM-opkald (Pluggable Authentication Module), som giver dig mulighed for at oprette forbindelse til systemet via SSH med visse angribende legitimationsoplysninger. Der er også en skjult mulighed for at øge dine privilegier til root-brugeren ved at indstille HTTP_SETTHIS miljøvariablen.
Kilde: opennet.ru