Investigadores de Intezer e BlackBerry descubriron un malware co nome en clave Simbiote, que se usa para inxectar portas traseiras e rootkits en servidores comprometidos que executan Linux. Detectouse malware nos sistemas de entidades financeiras de varios países de América Latina. Para instalar Simbiote nun sistema, un atacante debe ter acceso root, que se pode obter, por exemplo, como resultado da explotación de vulnerabilidades sen parches ou fugas de contas. Simbiote permítelle consolidar a súa presenza no sistema despois de piratear para realizar máis ataques, ocultar a actividade doutras aplicacións maliciosas e organizar a interceptación de datos confidenciais.
Unha característica especial de Simbiote é que se distribúe en forma de biblioteca compartida, que se carga durante o inicio de todos os procesos mediante o mecanismo LD_PRELOAD e substitúe algunhas chamadas á biblioteca estándar. Os manejadores de chamadas falsificados ocultan a actividade relacionada coa porta traseira, como excluír elementos específicos da lista de procesos, bloquear o acceso a certos ficheiros en /proc, ocultar ficheiros en directorios, excluír bibliotecas compartidas maliciosas na saída ldd (secuestrando a función executiva e analizando chamadas cun variable de entorno LD_TRACE_LOADED_OBJECTS) non mostran sockets de rede asociados a actividade maliciosa.
Para protexerse contra a inspección do tráfico, redefiniranse as funcións da biblioteca libpcap, o filtrado de lectura /proc/net/tcp e cárgase no núcleo un programa eBPF, que impide o funcionamento dos analizadores de tráfico e descarta as solicitudes de terceiros aos seus propios controladores de rede. O programa eBPF lánzase entre os primeiros procesadores e execútase no nivel máis baixo da pila de rede, o que lle permite ocultar a actividade de rede da porta traseira, incluídos os analizadores iniciados máis tarde.
Simbiote tamén permite evitar algúns analizadores de actividade no sistema de ficheiros, xa que o roubo de datos confidenciais pode levarse a cabo non a nivel de apertura de ficheiros, senón a través da interceptación de operacións de lectura destes ficheiros en aplicacións lexítimas (por exemplo, substitución). das funcións da biblioteca permite interceptar o usuario introducindo un contrasinal ou cargando desde un ficheiro datos con clave de acceso). Para organizar o inicio de sesión remoto, Simbiote intercepta algunhas chamadas PAM (Pluggable Authentication Module), que permite conectarse ao sistema a través de SSH con certas credenciais de ataque. Tamén hai unha opción oculta para aumentar os seus privilexios para o usuario root configurando a variable de ambiente HTTP_SETTHIS.
Fonte: opennet.ru