Istraživači iz Intezera i BlackBerryja otkrili su zlonamjerni softver kodnog imena Simbiote, koji se koristi za ubacivanje backdoora i rootkita u kompromitirane poslužitelje s Linuxom. Malware je otkriven na sustavima financijskih institucija u nekoliko zemalja Latinske Amerike. Da bi instalirao Simbiote na sustav, napadač mora imati root pristup, koji se može dobiti, na primjer, kao rezultat iskorištavanja nezakrpanih ranjivosti ili curenja računa. Simbiote vam omogućuje da konsolidirate svoju prisutnost u sustavu nakon hakiranja kako biste izvršili daljnje napade, sakrili aktivnosti drugih zlonamjernih aplikacija i organizirali presretanje povjerljivih podataka.
Posebna značajka Simbiotea je da se distribuira u obliku zajedničke biblioteke, koja se učitava tijekom pokretanja svih procesa pomoću mehanizma LD_PRELOAD i zamjenjuje neke pozive standardne biblioteke. Rukovatelji lažnim pozivima skrivaju aktivnosti povezane sa stražnjim vratima, kao što je isključivanje određenih stavki na popisu procesa, blokiranje pristupa određenim datotekama u /proc, skrivanje datoteka u direktorijima, isključivanje zlonamjerne dijeljene biblioteke u ldd izlazu (otimanje execve funkcije i analiziranje poziva s varijabla okruženja LD_TRACE_LOADED_OBJECTS) ne pokazuju mrežne utičnice povezane sa zlonamjernim aktivnostima.
Za zaštitu od inspekcije prometa, funkcije knjižnice libpcap su redefinirane, /proc/net/tcp filtriranje čitanja i eBPF program se učitava u kernel, koji sprječava rad analizatora prometa i odbacuje zahtjeve trećih strana prema vlastitim mrežnim rukovateljima. Program eBPF pokrenut je među prvim procesorima i izvršava se na najnižoj razini mrežnog stoga, što vam omogućuje skrivanje mrežne aktivnosti stražnjih vrata, uključujući analizatore pokrenute kasnije.
Simbiote vam također omogućuje zaobilaženje nekih analizatora aktivnosti u datotečnom sustavu, budući da se krađa povjerljivih podataka može izvesti ne na razini otvaranja datoteka, već presretanjem operacija čitanja iz tih datoteka u legitimnim aplikacijama (na primjer, zamjena knjižnice omogućuje presretanje korisnika koji unosi lozinku ili učitava podatke iz datoteke s pristupnim ključem). Kako bi organizirao daljinsku prijavu, Simbiote presreće neke PAM pozive (Pluggable Authentication Module), što vam omogućuje povezivanje sa sustavom putem SSH-a s određenim napadačkim vjerodajnicama. Također postoji skrivena opcija za povećanje vaših privilegija root korisniku postavljanjem varijable okoline HTTP_SETTHIS.
Izvor: opennet.ru