Ερευνητές από την Intezer και το BlackBerry ανακάλυψαν κακόβουλο λογισμικό με την κωδική ονομασία Simbiote, το οποίο χρησιμοποιείται για την εισαγωγή backdoors και rootkits σε παραβιασμένους διακομιστές με Linux. Κακόβουλο λογισμικό εντοπίστηκε σε συστήματα χρηματοπιστωτικών ιδρυμάτων σε αρκετές χώρες της Λατινικής Αμερικής. Για να εγκαταστήσετε το Simbiote σε ένα σύστημα, ένας εισβολέας πρέπει να έχει πρόσβαση root, η οποία μπορεί να αποκτηθεί, για παράδειγμα, ως αποτέλεσμα της εκμετάλλευσης μη επιδιορθωμένων τρωτών σημείων ή διαρροών λογαριασμού. Το Simbiote σάς επιτρέπει να εδραιώσετε την παρουσία σας στο σύστημα μετά από hacking για να πραγματοποιήσετε περαιτέρω επιθέσεις, να αποκρύψετε τη δραστηριότητα άλλων κακόβουλων εφαρμογών και να οργανώσετε την υποκλοπή εμπιστευτικών δεδομένων.
Ένα ιδιαίτερο χαρακτηριστικό του Simbiote είναι ότι διανέμεται με τη μορφή μιας κοινόχρηστης βιβλιοθήκης, η οποία φορτώνεται κατά την εκκίνηση όλων των διεργασιών χρησιμοποιώντας τον μηχανισμό LD_PRELOAD και αντικαθιστά ορισμένες κλήσεις προς την τυπική βιβλιοθήκη. Οι πλαστογραφημένοι χειριστές κλήσεων αποκρύπτουν δραστηριότητα που σχετίζεται με το backdoor, όπως εξαίρεση συγκεκριμένων στοιχείων στη λίστα διεργασιών, αποκλεισμός πρόσβασης σε ορισμένα αρχεία στο /proc, απόκρυψη αρχείων σε καταλόγους, εξαίρεση κακόβουλης κοινόχρηστης βιβλιοθήκης στην έξοδο ldd (παραβίαση της συνάρτησης execve και ανάλυση κλήσεων με μεταβλητή περιβάλλοντος LD_TRACE_LOADED_OBJECTS) δεν εμφανίζουν υποδοχές δικτύου που σχετίζονται με κακόβουλη δραστηριότητα.
Για προστασία από επιθεώρηση κυκλοφορίας, οι λειτουργίες της βιβλιοθήκης libpcap επανακαθορίζονται, το φιλτράρισμα ανάγνωσης /proc/net/tcp και ένα πρόγραμμα eBPF φορτώνεται στον πυρήνα, το οποίο εμποδίζει τη λειτουργία των αναλυτών κυκλοφορίας και απορρίπτει αιτήματα τρίτων προς τους δικούς του διαχειριστές δικτύου. Το πρόγραμμα eBPF εκκινείται μεταξύ των πρώτων επεξεργαστών και εκτελείται στο χαμηλότερο επίπεδο της στοίβας δικτύου, το οποίο σας επιτρέπει να αποκρύψετε τη δραστηριότητα του δικτύου της κερκόπορτας, συμπεριλαμβανομένων των αναλυτών που εκτοξεύτηκαν αργότερα.
Το Simbiote σάς επιτρέπει επίσης να παρακάμψετε ορισμένους αναλυτές δραστηριότητας στο σύστημα αρχείων, καθώς η κλοπή εμπιστευτικών δεδομένων μπορεί να πραγματοποιηθεί όχι στο επίπεδο ανοίγματος αρχείων, αλλά μέσω υποκλοπής λειτουργιών ανάγνωσης από αυτά τα αρχεία σε νόμιμες εφαρμογές (για παράδειγμα, αντικατάσταση βιβλιοθήκης λειτουργίες σάς επιτρέπει να παρακολουθείτε τον χρήστη που εισάγει έναν κωδικό πρόσβασης ή φορτώνει από ένα αρχείο δεδομένων με κλειδί πρόσβασης). Για να οργανώσει την απομακρυσμένη σύνδεση, η Simbiote παρεμποδίζει ορισμένες κλήσεις PAM (Pluggable Authentication Module), η οποία σας επιτρέπει να συνδεθείτε στο σύστημα μέσω SSH με συγκεκριμένα διαπιστευτήρια επίθεσης. Υπάρχει επίσης μια κρυφή επιλογή για να αυξήσετε τα προνόμιά σας στον χρήστη root ορίζοντας τη μεταβλητή περιβάλλοντος HTTP_SETTHIS.
Πηγή: opennet.ru