Undersikers fan Intezer en BlackBerry hawwe malware ûntdutsen mei de koadenamme Simbiote, dy't brûkt wurdt om efterdoarren en rootkits te ynjeksje yn kompromitteare servers dy't Linux draaie. Malware waard ûntdutsen op 'e systemen fan finansjele ynstellingen yn ferskate Latynsk-Amerikaanske lannen. Om Simbiote op in systeem te ynstallearjen, moat in oanfaller root-tagong hawwe, dy't bygelyks kin wurde krigen as gefolch fan it eksploitearjen fan unpatched kwetsberens of accountlekken. Simbiote lit jo jo oanwêzigens yn it systeem konsolidearje nei hacking om fierdere oanfallen út te fieren, de aktiviteit fan oare kweade applikaasjes te ferbergjen en it ûnderskeppen fan fertroulike gegevens te organisearjen.
In spesjale eigenskip fan Simbiote is dat it wurdt ferspraat yn 'e foarm fan in dielde bibleteek, dy't laden wurdt by it opstarten fan alle prosessen mei it LD_PRELOAD-meganisme en ferfangt guon oproppen nei de standertbibleteek. Spoofed call handlers ferbergje efterdoar-relatearre aktiviteit, lykas it útsluten fan spesifike items yn 'e proseslist, blokkearjen fan tagong ta bepaalde bestannen yn / proc, ferbergjen fan bestannen yn mappen, útsluting fan kweade dielde bibleteek yn ldd-útfier (hijacking de útfieringsfunksje en analysearjen fan petearen mei in omjouwingsfariabele LD_TRACE_LOADED_OBJECTS) net sjen litte netwurk sockets ferbûn mei kweade aktiviteit.
Om te beskermjen tsjin ferkearsynspeksje, wurde de libpcap-bibleteekfunksjes opnij definieare, /proc/net/tcp-lêsfiltering en in eBPF-programma wurdt yn 'e kearn laden, dy't de wurking fan ferkearsanalyzers foarkomt en fersiken fan tredden nei har eigen netwurkhannelers fersmyt. It eBPF-programma wurdt lansearre ûnder de earste processors en wurdt útfierd op it leechste nivo fan 'e netwurkstapel, wêrtroch jo de netwurkaktiviteit fan' e efterdoar kinne ferbergje, ynklusyf fan analysators dy't letter lansearre binne.
Simbiote lit jo ek guon aktiviteitsanalyzers yn it bestânsysteem omgean, om't de stellerij fan fertroulike gegevens net kin wurde útfierd op it nivo fan it iepenjen fan bestannen, mar troch it ûnderskeppen fan lêsoperaasjes fan dizze bestannen yn legitime applikaasjes (bygelyks substitúsje fan biblioteek funksjes kinne jo de brûker ûnderskeppe dy't in wachtwurd ynfiert of laden fan in bestângegevens mei tagongskaai). Om oanmelde op ôfstân te organisearjen, ûnderskept Simbiote guon PAM-oproppen (Pluggable Authentication Module), wêrmei jo kinne ferbine mei it systeem fia SSH mei bepaalde oanfallen credentials. D'r is ek in ferburgen opsje om jo privileezjes te fergrutsjen foar de root-brûker troch de HTTP_SETTHIS-omjouwingsfariabele yn te stellen.
Boarne: opennet.ru