Forscher von Intezer und BlackBerry haben Malware mit dem Codenamen Simbiote entdeckt, die zum Einschleusen von Hintertüren und Rootkits in kompromittierte Server unter Linux verwendet wird. In mehreren lateinamerikanischen Ländern wurde Schadsoftware auf den Systemen von Finanzinstituten entdeckt. Um Simbiote auf einem System zu installieren, muss ein Angreifer über Root-Zugriff verfügen, der beispielsweise durch die Ausnutzung ungepatchter Schwachstellen oder Kontolecks erlangt werden kann. Mit Simbiote können Sie Ihre Präsenz im System nach einem Hackerangriff festigen, um weitere Angriffe durchzuführen, die Aktivität anderer Schadanwendungen zu verbergen und das Abfangen vertraulicher Daten zu organisieren.
Eine Besonderheit von Simbiote besteht darin, dass es in Form einer gemeinsam genutzten Bibliothek verteilt wird, die beim Start aller Prozesse mithilfe des LD_PRELOAD-Mechanismus geladen wird und einige Aufrufe der Standardbibliothek ersetzt. Gefälschte Call-Handler verbergen Aktivitäten im Zusammenhang mit der Hintertür, wie z. B. das Ausschließen bestimmter Elemente in der Prozessliste, das Blockieren des Zugriffs auf bestimmte Dateien in /proc, das Verstecken von Dateien in Verzeichnissen, das Ausschließen bösartiger gemeinsam genutzter Bibliotheken in der LDD-Ausgabe (Hijacking der Execve-Funktion und Analysieren von Aufrufen mit einem Umgebungsvariable LD_TRACE_LOADED_OBJECTS) zeigen keine Netzwerk-Sockets an, die mit böswilligen Aktivitäten in Zusammenhang stehen.
Zum Schutz vor Verkehrsinspektion werden die Funktionen der libpcap-Bibliothek neu definiert, /proc/net/tcp liest Filterung und ein eBPF-Programm wird in den Kernel geladen, das den Betrieb von Verkehrsanalysatoren verhindert und Anfragen Dritter an seine eigenen Netzwerkhandler verwirft. Das eBPF-Programm wird unter den ersten Prozessoren gestartet und auf der untersten Ebene des Netzwerkstapels ausgeführt, wodurch Sie die Netzwerkaktivität der Hintertür auch vor später gestarteten Analysegeräten verbergen können.
Mit Simbiote können Sie auch einige Aktivitätsanalysatoren im Dateisystem umgehen, da der Diebstahl vertraulicher Daten nicht auf der Ebene des Öffnens von Dateien erfolgen kann, sondern durch das Abfangen von Lesevorgängen aus diesen Dateien in legitimen Anwendungen (z. B. Ersetzen der Bibliothek). Funktionen ermöglichen es Ihnen, den Benutzer abzufangen, der ein Passwort eingibt oder Daten aus einer Datei mit einem Zugriffsschlüssel lädt. Um die Remote-Anmeldung zu organisieren, fängt Simbiote einige PAM-Aufrufe (Pluggable Authentication Module) ab, die es Ihnen ermöglichen, sich mit bestimmten Angriffsdaten über SSH mit dem System zu verbinden. Es gibt auch eine versteckte Option, mit der Sie Ihre Berechtigungen für den Root-Benutzer erhöhen können, indem Sie die Umgebungsvariable HTTP_SETTHIS festlegen.
Source: opennet.ru