Intezer eta BlackBerry-ko ikertzaileek Simbiote izeneko malwarea aurkitu dute, Linux exekutatzen duten zerbitzari arriskutsuetan atzeko ateak eta rootkit-ak injektatzeko erabiltzen dena. Latinoamerikako hainbat herrialdetako finantza-erakundeen sistemetan malwarea detektatu zen. Simbiote sistema batean instalatzeko, erasotzaileak root sarbidea izan behar du, eta hori lor daiteke, adibidez, adabakirik gabeko ahuleziak edo kontuen ihesak ustiatzearen ondorioz. Simbiotek sisteman zure presentzia finkatzeko aukera ematen dizu hackeatu ondoren eraso gehiago egiteko, beste aplikazio gaizto batzuen jarduera ezkutatzeko eta isilpeko datuen atzematea antolatzeko.
Simbioteren ezaugarri berezi bat liburutegi partekatu baten moduan banatzen dela da, prozesu guztien abiaraztean kargatzen dena LD_PRELOAD mekanismoa erabiliz eta liburutegi estandarrerako dei batzuk ordezkatzen ditu. Dei-kudeatzaile faltsuek atzeko atearekin erlazionatutako jarduera ezkutatzen dute, hala nola, prozesu-zerrendan elementu zehatzak baztertzea, /proc-en fitxategi jakin batzuetarako sarbidea blokeatzea, direktorioetan fitxategiak ezkutatzea, ldd irteeran partekatutako liburutegi maltzurra baztertzea (exekutibo funtzioa bahitzea eta deiak aztertzea. LD_TRACE_LOADED_OBJECTS ingurune-aldagaiak) ez ditu jarduera maltzurrekin lotutako sare socketak erakusten.
Trafikoaren ikuskapenetik babesteko, libpcap liburutegiko funtzioak berriro definitzen dira, /proc/net/tcp irakurketa-iragazkia eta eBPF programa bat kargatzen da nukleoan, eta horrek trafiko-analizatzaileen funtzionamendua eragozten du eta hirugarrenen eskaerak baztertzen ditu sare-kudeatzaileei. eBPF programa lehen prozesadoreen artean abiarazten da eta sareko pilaren maila baxuenean exekutatzen da, eta horrek atzeko atearen sareko jarduera ezkutatzeko aukera ematen du, geroago abiarazitako analizagailuetatik barne.
Simbiote-k fitxategi-sistemako jarduera-analizzatzaile batzuk saihesteko aukera ematen du, datu konfidentzialak lapurtzea ez baita fitxategiak irekitzeko mailan egin, baizik eta fitxategi horien irakurketa-eragiketak atzemateko aplikazio legitimoetan (adibidez, ordezkapena). liburutegiko funtzioen erabiltzailea pasahitz bat sartuz edo sarbide-giltza duen fitxategi batetik datuak kargatuz atzemateko aukera ematen du). Urruneko saioa antolatzeko, Simbiotek PAM dei batzuk atzematen ditu (Pluggable Authentication Module), eta horri esker, sistemara SSH bidez konekta zaitezke erasoko kredentzial batzuekin. Ezkutuko aukera bat ere badago root erabiltzaileari zure pribilegioak handitzeko HTTP_SETTHIS ingurune-aldagaia ezarriz.
Iturria: opennet.ru