Esploristoj de Intezer kaj BlackBerry malkovris malbonware kodita Simbiote, kiu estas uzata por injekti malantaŭajn pordojn kaj radikilojn en kompromititajn servilojn prizorgante Linukso. Malware estis detektita sur la sistemoj de financaj institucioj en pluraj latin-amerikaj landoj. Por instali Simbiote en sistemo, atakanto devas havi radikan aliron, kiu povas esti akirita, ekzemple, kiel rezulto de ekspluatado de neflakitaj vundeblecoj aŭ konto-fuĝoj. Simbiote permesas vin solidigi vian ĉeeston en la sistemo post hakado por fari pliajn atakojn, kaŝi la agadon de aliaj malicaj aplikoj kaj organizi la interkapton de konfidencaj datumoj.
Speciala trajto de Simbiote estas ke ĝi estas distribuita en la formo de komuna biblioteko, kiu estas ŝarĝita dum la ekfunkciigo de ĉiuj procezoj uzante la LD_PRELOAD-mekanismon kaj anstataŭigas kelkajn alvokojn al la norma biblioteko. Falsitaj alvokotraktantoj kaŝas malantaŭpord-rilatan agadon, kiel ekskludo de specifaj eroj en la procezlisto, blokado de aliro al certaj dosieroj en /proc, kaŝado de dosieroj en dosierujoj, ekskludo de malica komuna biblioteko en ldd-eligo (kaŝado de la plenuma funkcio kaj analizo de vokoj per mediovariablo LD_TRACE_LOADED_OBJECTS) ne montras retajn ingojn asociitajn kun malica agado.
Por protekti kontraŭ trafika inspektado, la libpcap-bibliotekaj funkcioj estas redifinitaj, /proc/net/tcp lega filtrado kaj eBPF-programo estas ŝarĝita en la kernon, kiu malhelpas la funkciadon de trafikanaliziloj kaj forĵetas triapartajn petojn al siaj propraj retaj prizorgantoj. La programo eBPF estas lanĉita inter la unuaj procesoroj kaj estas ekzekutita ĉe la plej malalta nivelo de la reto-stako, kio ebligas al vi kaŝi la retan agadon de la malantaŭa pordo, inkluzive de analiziloj lanĉitaj poste.
Simbiote ankaŭ ebligas al vi preterpasi iujn agad-analizilojn en la dosiersistemo, ĉar la ŝtelo de konfidencaj datumoj povas esti efektivigita ne je la nivelo de malfermado de dosieroj, sed per kaptado de legaj operacioj de ĉi tiuj dosieroj en legitimaj aplikoj (ekzemple, anstataŭigo de biblioteko. funkcioj permesas kapti la uzanton enirante pasvorton aŭ ŝarĝante el dosiero datumoj kun alirŝlosilo). Por organizi foran ensaluton, Simbiote kaptas kelkajn PAM-vokojn (Pluggable Authentication Module), kiu ebligas vin konekti al la sistemo per SSH kun certaj atakaj akreditaĵoj. Ankaŭ ekzistas kaŝita opcio por pliigi viajn privilegiojn al la radika uzanto per agordo de la mediovariablo HTTP_SETTHIS.
fonto: opennet.ru