محققان Intezer و BlackBerry بدافزاری با نام رمز Simbiote کشف کردهاند که برای تزریق درهای پشتی و روتکیتها به سرورهای در معرض خطر لینوکس استفاده میشود. بدافزار در سیستم های موسسات مالی در چندین کشور آمریکای لاتین شناسایی شد. برای نصب سیمبیوت روی یک سیستم، مهاجم باید دسترسی ریشه داشته باشد، که میتواند به عنوان مثال در نتیجه سوء استفاده از آسیبپذیریهای اصلاح نشده یا نشت حساب به دست آید. Simbiote به شما امکان می دهد پس از هک، حضور خود را در سیستم تثبیت کنید تا حملات بیشتری را انجام دهید، فعالیت سایر برنامه های مخرب را پنهان کنید و رهگیری داده های محرمانه را سازماندهی کنید.
ویژگی خاص سیمبیوت این است که در قالب یک کتابخانه اشتراکی توزیع می شود که در هنگام راه اندازی کلیه فرآیندها با استفاده از مکانیزم LD_PRELOAD بارگذاری می شود و جایگزین برخی از تماس ها به کتابخانه استاندارد می شود. کنترلکنندههای تماس جعلی فعالیتهای مرتبط با درب پشتی را پنهان میکنند، مانند حذف موارد خاص در لیست فرآیند، مسدود کردن دسترسی به فایلهای خاص در /proc، پنهان کردن فایلها در فهرستها، حذف کتابخانه مشترک مخرب در خروجی ldd (ربایش تابع execve و تجزیه و تحلیل تماسها با متغیر محیطی LD_TRACE_LOADED_OBJECTS) سوکت های شبکه مرتبط با فعالیت های مخرب را نشان نمی دهد.
برای محافظت در برابر بازرسی ترافیک، توابع کتابخانه libpcap دوباره تعریف میشوند، /proc/net/tcp فیلتر میشود و یک برنامه eBPF در هسته بارگذاری میشود، که از عملکرد تحلیلگرهای ترافیک جلوگیری میکند و درخواستهای شخص ثالث را به کنترلکنندههای شبکه خود نادیده میگیرد. برنامه eBPF در میان اولین پردازنده ها راه اندازی شده و در پایین ترین سطح پشته شبکه اجرا می شود، که به شما امکان می دهد فعالیت شبکه درب پشتی را پنهان کنید، از جمله از تحلیلگرهایی که بعداً راه اندازی شده اند.
Simbiote همچنین به شما امکان می دهد برخی از تحلیلگرهای فعالیت را در سیستم فایل دور بزنید، زیرا سرقت داده های محرمانه را می توان نه در سطح باز کردن پرونده ها، بلکه از طریق رهگیری عملیات خواندن از این پرونده ها در برنامه های قانونی (به عنوان مثال، جایگزینی کتابخانه) انجام داد. توابع به شما این امکان را می دهد که کاربر را که رمز عبور وارد می کند یا از داده های فایل بارگیری می کند با کلید دسترسی رهگیری کنید). برای سازماندهی ورود از راه دور، سیمبیوت برخی از تماسهای PAM را رهگیری میکند (ماژول تأیید اعتبار قابل اتصال)، که به شما امکان میدهد از طریق SSH با اعتبارنامههای مهاجم خاص به سیستم متصل شوید. همچنین یک گزینه مخفی برای افزایش امتیازات خود به کاربر اصلی با تنظیم متغیر محیطی HTTP_SETTHIS وجود دارد.
منبع: opennet.ru