Intezeri ja BlackBerry teadlased on avastanud pahavara koodnimega Simbiote, mida kasutatakse tagauste ja juurkomplektide sisestamiseks Linuxi töötavatesse ohustatud serveritesse. Pahavara tuvastati mitme Ladina-Ameerika riigi finantsasutuste süsteemides. Simbiote süsteemi installimiseks peab ründajal olema juurjuurdepääs, mille võib saada näiteks parandamata turvaaukude ärakasutamise või konto lekete tulemusena. Simbiote võimaldab teil pärast häkkimist oma kohalolekut süsteemis kindlustada, et sooritada edasisi ründeid, varjata teiste pahatahtlike rakenduste tegevust ja korraldada konfidentsiaalsete andmete pealtkuulamist.
Simbiote'i eripära on see, et seda levitatakse jagatud teegi kujul, mis laaditakse kõigi protsesside käivitamisel LD_PRELOAD mehhanismi abil ja asendab mõned standardse teegi kutsed. Võltskõnede töötlejad peidavad tagauksega seotud tegevused, nagu teatud üksuste väljajätmine protsesside loendist, juurdepääsu blokeerimine teatud failidele kataloogis /proc, failide peitmine kataloogides, pahatahtliku jagatud teegi välistamine ldd väljundis (execve funktsiooni kaaperdamine ja kõnede analüüsimine keskkonnamuutuja LD_TRACE_LOADED_OBJECTS) ei näita pahatahtliku tegevusega seotud võrgupesasid.
Liikluskontrolli eest kaitsmiseks defineeritakse ümber libpcap teegi funktsioonid, /proc/net/tcp lugemise filtreerimine ja kernelisse laaditakse eBPF programm, mis takistab liiklusanalüsaatorite tööd ja jätab kõrvale kolmandate osapoolte päringud enda võrguhalduritele. Programm eBPF käivitatakse esimeste protsessorite seas ja seda käivitatakse võrgupinu madalaimal tasemel, mis võimaldab peita tagaukse võrgutegevust, sealhulgas hiljem käivitatud analüsaatorite eest.
Simbiote võimaldab teil ka mõnest failisüsteemi aktiivsusanalüsaatorist mööda minna, kuna konfidentsiaalsete andmete vargust saab läbi viia mitte failide avamise tasemel, vaid nende failide lugemistoimingute pealtkuulamise kaudu seaduslikes rakendustes (näiteks raamatukogu asendamine). funktsioonid võimaldavad teil parooli sisestamist või failist andmete laadimist juurdepääsuvõtmega pealt kuulata). Kaugsisselogimise korraldamiseks püüab Simbiote kinni mõned PAM-kõned (Pluggable Authentication Module), mis võimaldab teil SSH kaudu süsteemiga ühenduse luua teatud ründemandaatidega. Samuti on peidetud valik juurkasutaja õiguste suurendamiseks, määrates keskkonnamuutuja HTTP_SETTHIS.
Allikas: opennet.ru