Intezerin ja BlackBerryn tutkijat ovat löytäneet haittaohjelman koodinimeltään Simbiote, jota käytetään takaovien ja rootkittien lisäämiseen Linuxia käyttäviin vaarantuneisiin palvelimiin. Haittaohjelmia havaittiin rahoituslaitosten järjestelmistä useissa Latinalaisen Amerikan maissa. Simbioten asentaminen järjestelmään edellyttää, että hyökkääjällä on pääkäyttäjän oikeudet, jotka voidaan saada esimerkiksi korjaamattomien haavoittuvuuksien tai tilivuotojen hyödyntämisen seurauksena. Simbioten avulla voit vahvistaa läsnäoloasi järjestelmässä hakkeroinnin jälkeen, jotta voit suorittaa lisähyökkäyksiä, piilottaa muiden haitallisten sovellusten toiminnan ja järjestää luottamuksellisten tietojen sieppauksen.
Simbioten erityispiirre on, että se on jaettu jaetun kirjaston muodossa, joka ladataan kaikkien prosessien käynnistyksen yhteydessä LD_PRELOAD-mekanismilla ja korvaa osan vakiokirjaston kutsuista. Huijatut puhelujen käsittelijät piilottavat takaoviin liittyvät toiminnot, kuten tiettyjen kohteiden poissulkemisen prosessiluettelosta, pääsyn estäminen tiettyihin tiedostoihin hakemistossa /proc, tiedostojen piilottaminen hakemistoihin, haitallisen jaetun kirjaston poissulkeminen ldd-lähdössä (execve-funktion kaappaaminen ja puheluiden analysointi ympäristömuuttuja LD_TRACE_LOADED_OBJECTS) eivät näytä haitalliseen toimintaan liittyviä verkkopistokkeita.
Liikennetarkastuksia vastaan suojautumiseksi libpcap-kirjaston toiminnot määritellään uudelleen, /proc/net/tcp lukusuodatus ja ytimeen ladataan eBPF-ohjelma, joka estää liikenneanalysaattoreiden toiminnan ja hylkää kolmannen osapuolen pyynnöt omille verkkokäsittelijöilleen. eBPF-ohjelma käynnistetään ensimmäisten prosessorien joukossa ja suoritetaan verkkopinon alimmalla tasolla, minkä ansiosta voit piilottaa takaoven verkkotoiminnan, myös myöhemmin käynnistetyiltä analysaattoreilta.
Simbiote antaa sinun myös ohittaa jotkin tiedostojärjestelmän aktiivisuusanalysaattorit, koska luottamuksellisten tietojen varkaus ei voida suorittaa tiedostojen avaamisen tasolla, vaan siepata lukutoiminnot näistä tiedostoista laillisissa sovelluksissa (esimerkiksi korvaaminen kirjastotoimintojen avulla voit siepata käyttäjän syöttämässä salasanaa tai lataamassa tiedostosta tietoja pääsyavaimella). Järjestääkseen etäkirjautumisen Simbiote sieppaa joitakin PAM-puheluita (Pluggable Authentication Module), jonka avulla voit muodostaa yhteyden järjestelmään SSH:n kautta tietyillä hyökkäyksillä. On myös piilotettu vaihtoehto, jolla voit lisätä pääkäyttäjän oikeuksiasi asettamalla HTTP_SETTHIS-ympäristömuuttujan.
Lähde: opennet.ru