ProHoster > وبلاگ > اخبار اینترنتی > Simbiote یک بدافزار لینوکس است که از eBPF و LD_PRELOAD برای مخفی کردن استفاده می کند

Simbiote یک بدافزار لینوکس است که از eBPF و LD_PRELOAD برای مخفی کردن استفاده می کند

محققان Intezer و BlackBerry بدافزاری با نام رمز Simbiote کشف کرده‌اند که برای تزریق درهای پشتی و روت‌کیت‌ها به سرورهای در معرض خطر لینوکس استفاده می‌شود. بدافزار در سیستم های موسسات مالی در چندین کشور آمریکای لاتین شناسایی شد. برای نصب سیمبیوت روی یک سیستم، مهاجم باید دسترسی ریشه داشته باشد، که می‌تواند به عنوان مثال در نتیجه سوء استفاده از آسیب‌پذیری‌های اصلاح نشده یا نشت حساب به دست آید. Simbiote به شما امکان می دهد پس از هک، حضور خود را در سیستم تثبیت کنید تا حملات بیشتری را انجام دهید، فعالیت سایر برنامه های مخرب را پنهان کنید و رهگیری داده های محرمانه را سازماندهی کنید.

ویژگی خاص سیمبیوت این است که در قالب یک کتابخانه اشتراکی توزیع می شود که در هنگام راه اندازی کلیه فرآیندها با استفاده از مکانیزم LD_PRELOAD بارگذاری می شود و جایگزین برخی از تماس ها به کتابخانه استاندارد می شود. کنترل‌کننده‌های تماس جعلی فعالیت‌های مرتبط با درب پشتی را پنهان می‌کنند، مانند حذف موارد خاص در لیست فرآیند، مسدود کردن دسترسی به فایل‌های خاص در /proc، پنهان کردن فایل‌ها در فهرست‌ها، حذف کتابخانه مشترک مخرب در خروجی ldd (ربایش تابع execve و تجزیه و تحلیل تماس‌ها با متغیر محیطی LD_TRACE_LOADED_OBJECTS) سوکت های شبکه مرتبط با فعالیت های مخرب را نشان نمی دهد.

برای محافظت در برابر بازرسی ترافیک، توابع کتابخانه libpcap دوباره تعریف می‌شوند، /proc/net/tcp فیلتر می‌شود و یک برنامه eBPF در هسته بارگذاری می‌شود، که از عملکرد تحلیل‌گرهای ترافیک جلوگیری می‌کند و درخواست‌های شخص ثالث را به کنترل‌کننده‌های شبکه خود نادیده می‌گیرد. برنامه eBPF در میان اولین پردازنده ها راه اندازی شده و در پایین ترین سطح پشته شبکه اجرا می شود، که به شما امکان می دهد فعالیت شبکه درب پشتی را پنهان کنید، از جمله از تحلیلگرهایی که بعداً راه اندازی شده اند.

Simbiote همچنین به شما امکان می دهد برخی از تحلیلگرهای فعالیت را در سیستم فایل دور بزنید، زیرا سرقت داده های محرمانه را می توان نه در سطح باز کردن پرونده ها، بلکه از طریق رهگیری عملیات خواندن از این پرونده ها در برنامه های قانونی (به عنوان مثال، جایگزینی کتابخانه) انجام داد. توابع به شما این امکان را می دهد که کاربر را که رمز عبور وارد می کند یا از داده های فایل بارگیری می کند با کلید دسترسی رهگیری کنید). برای سازماندهی ورود از راه دور، سیمبیوت برخی از تماس‌های PAM را رهگیری می‌کند (ماژول تأیید اعتبار قابل اتصال)، که به شما امکان می‌دهد از طریق SSH با اعتبارنامه‌های مهاجم خاص به سیستم متصل شوید. همچنین یک گزینه مخفی برای افزایش امتیازات خود به کاربر اصلی با تنظیم متغیر محیطی HTTP_SETTHIS وجود دارد.

Simbiote - بدافزار لینوکس که از eBPF و LD_PRELOAD برای پنهان کردن استفاده می کند


منبع: opennet.ru

اضافه کردن نظر