Chèchè ki soti nan Intezer ak mur yo te dekouvri malveyan ki gen non Simbiote, ki itilize pou enjekte backdoor ak routki nan sèvè konpwomèt kap kouri Linux. Yo te detekte malveyan sou sistèm enstitisyon finansye yo nan plizyè peyi nan Amerik Latin nan. Pou enstale Simbiote sou yon sistèm, yon atakè dwe gen aksè rasin, ki ka jwenn, pou egzanp, kòm yon rezilta nan eksplwate frajilite ki pa patched oswa fwit kont. Simbiote pèmèt ou konsolide prezans ou nan sistèm lan apre Hacking pou fè plis atak, kache aktivite lòt aplikasyon move epi òganize entèsepsyon done konfidansyèl yo.
Yon karakteristik espesyal nan Simbiote se ke li distribye nan fòm lan nan yon bibliyotèk pataje, ki chaje pandan demaraj la nan tout pwosesis lè l sèvi avèk mekanis nan LD_PRELOAD ak ranplase kèk apèl nan bibliyotèk la estanda. Moun k ap okipe apèl ki twonpe yo kache aktivite ki gen rapò ak degize, tankou eksklizyon atik espesifik nan lis pwosesis la, bloke aksè nan sèten fichye nan /proc, kache fichye nan anyè, eksepte bibliyotèk pataje move nan pwodiksyon ldd (dejòde fonksyon execve a ak analize apèl ak yon varyab anviwònman LD_TRACE_LOADED_OBJECTS) pa montre rezo ki asosye ak aktivite move.
Pou pwoteje kont enspeksyon trafik yo, fonksyon bibliyotèk libpcap yo redéfini, /proc/net/tcp lekti filtraj ak yon pwogram eBPF chaje nan nwayo a, ki anpeche operasyon analizè trafik yo epi jete demann twazyèm pati bay pwòp rezo li yo. Pwogram eBPF te lanse nan mitan premye processeurs yo epi li egzekite nan nivo ki pi ba nan chemine rezo a, ki pèmèt ou kache aktivite rezo pòt deye a, ki gen ladan analizeur ki te lanse pita.
Simbiote tou pèmèt ou kontoune kèk analizè aktivite nan sistèm nan dosye, depi vòl la nan done konfidansyèl ka fèt pa nan nivo a nan ouvèti dosye, men nan entèsepte operasyon li nan dosye sa yo nan aplikasyon lejitim (pa egzanp, sibstitisyon nan bibliyotèk). fonksyon pèmèt ou entèsepte itilizatè a k ap antre nan yon modpas oswa chaje soti nan yon done dosye ak kle aksè). Pou òganize koneksyon aleka, Simbiote entèsepte kèk apèl PAM (Pluggable Authentication Modil), ki pèmèt ou konekte ak sistèm nan atravè SSH ak sèten kalifikasyon atak. Genyen tou yon opsyon kache pou ogmante privilèj ou bay itilizatè rasin lan lè w mete varyab anviwònman HTTP_SETTHIS la.
Sous: opennet.ru