Investigadores de Intezer y BlackBerry han descubierto un malware con nombre en código Simbiote, que se utiliza para inyectar puertas traseras y rootkits en servidores comprometidos que ejecutan Linux. Se detectó malware en los sistemas de instituciones financieras de varios países de América Latina. Para instalar Simbiote en un sistema, un atacante debe tener acceso de root, que puede obtenerse, por ejemplo, aprovechando vulnerabilidades sin parches o filtraciones de cuentas. Simbiote le permite consolidar su presencia en el sistema después del hackeo para llevar a cabo más ataques, ocultar la actividad de otras aplicaciones maliciosas y organizar la interceptación de datos confidenciales.
Una característica especial de Simbiote es que se distribuye como una biblioteca compartida, que se carga durante el inicio de todos los procesos utilizando el mecanismo LD_PRELOAD y reemplaza algunas llamadas a la biblioteca estándar. Los controladores de llamadas falsificados ocultan actividades relacionadas con puertas traseras, como excluir elementos específicos en la lista de procesos, bloquear el acceso a ciertos archivos en /proc, ocultar archivos en directorios, excluir bibliotecas compartidas maliciosas en la salida ldd (secuestrar la función ejecutiva y analizar llamadas con un variable de entorno LD_TRACE_LOADED_OBJECTS) no muestran sockets de red asociados con actividad maliciosa.
Para protegerse contra la inspección del tráfico, se redefinen las funciones de la biblioteca libpcap, se filtra la lectura /proc/net/tcp y se carga un programa eBPF en el kernel, que impide el funcionamiento de los analizadores de tráfico y descarta las solicitudes de terceros a sus propios controladores de red. El programa eBPF se inicia entre los primeros procesadores y se ejecuta en el nivel más bajo de la pila de red, lo que le permite ocultar la actividad de red de la puerta trasera, incluso de los analizadores iniciados posteriormente.
Simbiote también le permite eludir algunos analizadores de actividad en el sistema de archivos, ya que el robo de datos confidenciales se puede llevar a cabo no en el nivel de apertura de archivos, sino interceptando operaciones de lectura de estos archivos en aplicaciones legítimas (por ejemplo, sustitución de biblioteca Esta función le permite interceptar al usuario ingresando una contraseña o cargando datos desde un archivo con clave de acceso). Para organizar el inicio de sesión remoto, Simbiote intercepta algunas llamadas PAM (Módulo de autenticación conectable), lo que le permite conectarse al sistema a través de SSH con ciertas credenciales de ataque. También hay una opción oculta para aumentar sus privilegios para el usuario root configurando la variable de entorno HTTP_SETTHIS.
Fuente: opennet.ru