Ua ʻike nā mea noiʻi mai Intezer a me BlackBerry i ka malware codenamed Simbiote, ka mea i hoʻohana ʻia e hoʻokomo i nā puka hope a me nā rootkits i loko o nā kikowaena compromised e holo ana i Linux. Ua ʻike ʻia ʻo Malware ma nā ʻōnaehana o nā ʻoihana kālā ma kekahi mau ʻāina ʻAmelika Latin. No ka hoʻokomo ʻana iā Simbiote ma kahi ʻōnaehana, pono i ka mea hoʻouka ke loaʻa i ke aʻa, hiki ke loaʻa, no ka laʻana, ma muli o ka hoʻohana ʻana i nā mea nāwaliwali ʻole i hoʻopaʻa ʻia a i ʻole nā leaks moʻokāki. ʻAe ʻo Simbiote iā ʻoe e hoʻohui i kou noho ʻana i ka ʻōnaehana ma hope o ka hacking e hoʻokō i nā hoʻouka hou aku, hūnā i ka hana o nā noi hewa ʻē aʻe a hoʻonohonoho i ka interception o ka ʻikepili huna.
ʻO kahi hiʻohiʻona kūikawā o Simbiote ka hāʻawi ʻia ʻana ma ke ʻano o kahi waihona waihona, i hoʻouka ʻia i ka wā o ka hoʻomaka ʻana o nā kaʻina āpau e hoʻohana ana i ka mīkini LD_PRELOAD a hoʻololi i kekahi mau kelepona i ka waihona maʻamau. Huna nā mea kelepona kelepona i nā hana e pili ana i hope, e like me ka haʻalele ʻana i nā mea kikoʻī i ka papa inoa kaʻina hana, ka pale ʻana i ke komo ʻana i kekahi mau faila i /proc, hūnā i nā faila i loko o nā papa kuhikuhi, ʻaʻole i hoʻokomo ʻia i ka waihona like ʻino i ka ldd output (hijacking the execve function and analysis calls with a ʻaʻole hōʻike ʻia nā kumu pūnaewele pili me ka hana ʻino.
No ka pale ʻana i ka nānā ʻana i ke kaʻa, ua wehewehe hou ʻia nā hana o ka waihona libpcap, / proc/net/tcp heluhelu kānana a hoʻokomo ʻia kahi papahana eBPF i loko o ka kernel, ka mea e pale ai i ka hana ʻana o nā mea hoʻoponopono kaʻa a hoʻolei i nā noi ʻaoʻao ʻekolu i kāna mau mea lawelawe pūnaewele. Hoʻokuʻu ʻia ka papahana eBPF ma waena o nā kaʻina hana mua a hoʻokō ʻia ma ka pae haʻahaʻa loa o ka waihona pūnaewele, kahi e hiki ai iā ʻoe ke hūnā i ka hana pūnaewele o ka backdoor, me nā mea anaana i hoʻokuʻu ʻia ma hope.
ʻAe ʻo Simbiote iā ʻoe e kāpae i kekahi mau mea loiloi hana ma ka ʻōnaehana faila, no ka mea, ʻaʻole hiki ke hana ʻia ka ʻaihue o ka ʻikepili huna ma ke kiʻekiʻe o ka wehe ʻana i nā faila, akā ma o ka intercepting i nā hana heluhelu mai kēia mau faila i nā noi kūpono (no ka laʻana, hoʻololi i ka waihona. hiki iā ʻoe ke hoʻopaʻa i ka mea hoʻohana e hoʻokomo i kahi ʻōlelo huna a i ʻole ka hoʻouka ʻana mai kahi ʻikepili faila me ke kī komo). No ka hoʻonohonoho ʻana i ka hoʻopaʻa inoa mamao, hoʻopili ʻo Simbiote i kekahi mau kelepona PAM (Pluggable Authentication Module), kahi e hiki ai iā ʻoe ke hoʻopili i ka ʻōnaehana ma o SSH me kekahi mau hōʻoia hoʻouka. Aia kekahi koho huna e hoʻonui i kāu mau pono i ka mea hoʻohana kumu ma ka hoʻonohonoho ʻana i ka ʻano hoʻololi kaiapuni HTTP_SETTHIS.
Source: opennet.ru