Tha luchd-rannsachaidh bho Intezer agus BlackBerry air lorg malware leis an ainm Simbiote, a thathas a ’cleachdadh gus backdoors agus rootkits a chuir a-steach do luchd-frithealaidh cunnartach a tha a’ ruith Linux. Chaidh malware a lorg air siostaman institiudan ionmhais ann an grunn dhùthchannan Ameireagaidh Laidinn. Gus Simbiote a chuir a-steach air siostam, feumaidh ruigsinneachd freumh a bhith aig neach-ionnsaigh, a gheibhear, mar eisimpleir, mar thoradh air a bhith a’ gabhail brath air so-leòntachd neo-leasaichte no aoidion cunntais. Leigidh Simbiote leat do làthaireachd san t-siostam a dhaingneachadh às deidh hacaidh gus tuilleadh ionnsaighean a dhèanamh, gnìomhachd thagraidhean droch-rùnach eile fhalach agus cuir air dòigh eadar-ghabhail dàta dìomhair.
Is e feart sònraichte de Simbiote gu bheil e air a chuairteachadh ann an cruth leabharlann co-roinnte, a tha air a luchdachadh nuair a thòisicheas a h-uile pròiseas a’ cleachdadh an uidheamachd LD_PRELOAD agus a thèid an àite cuid de ghairmean chun leabharlann àbhaisteach. Bidh luchd-làimhseachaidh fiosan meallta a’ falach gnìomhachd co-cheangailte ri cùl-raon, leithid a bhith a’ dùnadh a-mach nithean sònraichte air an liosta phròiseas, a’ bacadh ruigsinneachd air faidhlichean sònraichte ann an / proc, a’ falach fhaidhlichean ann an eòlairean, a’ gabhail a-steach leabharlann co-roinnte droch-rùnach ann an toradh ldd (a’ gabhail thairis a’ ghnìomh gnìomh agus a’ mion-sgrùdadh fiosan le caochladair àrainneachd LD_TRACE_LOADED_OBJECTS) na socaidean lìonra co-cheangailte ri gnìomhachd droch-rùnach.
Gus dìon an aghaidh sgrùdadh trafaic, tha gnìomhan leabharlainn libpcap air an ath-mhìneachadh, / proc/net/tcp read sìoladh agus tha prògram eBPF air a luchdachadh a-steach don kernel, a chuireas casg air gnìomhachd sgrùdairean trafaic agus a chuireas air falbh iarrtasan treas-phàrtaidh gu na luchd-làimhseachaidh lìonra aca fhèin. Tha am prògram eBPF air a chuir air bhog am measg a ’chiad phròiseasan agus tha e air a chuir gu bàs aig an ìre as ìsle den chruach lìonra, a leigeas leat gnìomhachd lìonra a’ chùil fhalach, a ’toirt a-steach bho sgrùdairean a chaidh a chuir air bhog nas fhaide air adhart.
Leigidh Simbiote leat cuid de mhion-sgrùdairean gnìomhachd a sheachnadh san t-siostam faidhle, leis nach urrainnear goid dàta dìomhair a dhèanamh aig ìre fosglaidh faidhlichean, ach tro bhith a’ toirt a-steach gnìomhachd leughaidh bho na faidhlichean sin ann an tagraidhean dligheach (mar eisimpleir, cuir an àite leabharlann Leigidh gnìomhan leat casg a chuir air an neach-cleachdaidh a’ dol a-steach do fhacal-faire no luchdachadh bho dàta faidhle le iuchair ruigsinneachd). Gus logadh a-steach iomallach a chuir air dòigh, bidh Simbiote a ’toirt a-steach cuid de ghlaodhan PAM (Modal Dearbhaidh Pluggable), a leigeas leat ceangal ris an t-siostam tro SSH le teisteanasan ionnsaigh sònraichte. Tha roghainn falaichte ann cuideachd gus do shochairean àrdachadh don neach-cleachdaidh bunaiteach le bhith a’ suidheachadh caochladair àrainneachd HTTP_SETTHIS.
Source: fosgailtenet.ru