Des chercheurs d'Intezer et de BlackBerry ont découvert un malware nommé Simbiote, utilisé pour injecter des portes dérobées et des rootkits dans des serveurs compromis exécutant Linux. Des logiciels malveillants ont été détectés sur les systèmes d'institutions financières de plusieurs pays d'Amérique latine. Pour installer Simbiote sur un système, un attaquant doit disposer d'un accès root, qui peut être obtenu, par exemple, en exploitant des vulnérabilités non corrigées ou des fuites de compte. Simbiote vous permet de consolider votre présence dans le système après un piratage pour mener d'autres attaques, masquer l'activité d'autres applications malveillantes et organiser l'interception de données confidentielles.
Une particularité de Simbiote est qu'il est distribué sous la forme d'une bibliothèque partagée, qui est chargée lors du démarrage de tous les processus utilisant le mécanisme LD_PRELOAD et remplace certains appels à la bibliothèque standard. Les gestionnaires d'appels usurpés masquent les activités liées aux portes dérobées, telles que l'exclusion d'éléments spécifiques dans la liste des processus, le blocage de l'accès à certains fichiers dans /proc, le masquage de fichiers dans des répertoires, l'exclusion d'une bibliothèque partagée malveillante dans la sortie ldd (piratage de la fonction execve et analyse des appels avec un variable d'environnement LD_TRACE_LOADED_OBJECTS) n'affiche pas les sockets réseau associées à une activité malveillante.
Pour se protéger contre l'inspection du trafic, les fonctions de la bibliothèque libpcap sont redéfinies, le filtrage de lecture /proc/net/tcp et un programme eBPF est chargé dans le noyau, ce qui empêche le fonctionnement des analyseurs de trafic et rejette les requêtes tierces adressées à ses propres gestionnaires de réseau. Le programme eBPF est lancé parmi les premiers processeurs et est exécuté au niveau le plus bas de la pile réseau, ce qui permet de masquer l'activité réseau de la porte dérobée, y compris auprès des analyseurs lancés ultérieurement.
Simbiote permet également de contourner certains analyseurs d'activité dans le système de fichiers, puisque le vol de données confidentielles peut s'effectuer non pas au niveau de l'ouverture de fichiers, mais en interceptant les opérations de lecture de ces fichiers dans des applications légitimes (par exemple, substitution de bibliothèque les fonctions permettent d'intercepter l'utilisateur en saisissant un mot de passe ou en chargeant à partir d'un fichier des données avec une clé d'accès). Pour organiser la connexion à distance, Simbiote intercepte certains appels PAM (Pluggable Authentication Module), ce qui vous permet de vous connecter au système via SSH avec certains identifiants d'attaque. Il existe également une option cachée pour augmenter vos privilèges en tant qu'utilisateur root en définissant la variable d'environnement HTTP_SETTHIS.
Source: opennet.ru