Az Intezer és a BlackBerry kutatói a Simbiote kódnevű rosszindulatú programot fedezték fel, amelyet hátsó ajtók és rootkitek beszúrására használnak feltört Linuxot futtató szerverekbe. Több latin-amerikai országban észleltek rosszindulatú programokat a pénzintézetek rendszerén. A Simbiote rendszerre való telepítéséhez a támadónak root hozzáféréssel kell rendelkeznie, amelyet például a kijavítatlan sebezhetőségek kihasználása vagy fiókszivárgás eredményeként szerezhet meg. A Simbiote lehetővé teszi, hogy megszilárdítsa jelenlétét a rendszerben a hackelés után, hogy további támadásokat hajtson végre, elrejtse más rosszindulatú alkalmazások tevékenységét, és megszervezze a bizalmas adatok lehallgatását.
A Simbiote különlegessége, hogy megosztott könyvtár formájában kerül terjesztésre, amely az összes folyamat indításakor az LD_PRELOAD mechanizmus segítségével betöltődik, és helyettesít néhány hívást a szabványos könyvtár felé. A meghamisított híváskezelők elrejtik a hátsó ajtóval kapcsolatos tevékenységeket, mint például bizonyos elemek kizárása a folyamatlistából, bizonyos fájlokhoz való hozzáférés blokkolása a /proc könyvtárban, fájlok elrejtése könyvtárakba, rosszindulatú megosztott könyvtár kizárása az ldd kimenetben (az execve függvény eltérítése és a hívások elemzése egy LD_TRACE_LOADED_OBJECTS környezeti változó) nem jelenítik meg a rosszindulatú tevékenységhez kapcsolódó hálózati socketeket.
A forgalomellenőrzés elleni védelem érdekében újradefiniálják a libpcap könyvtár funkcióit, a /proc/net/tcp olvasási szűrést és egy eBPF programot töltenek be a kernelbe, amely megakadályozza a forgalomelemzők működését és elveti a harmadik féltől érkező kéréseket a saját hálózati kezelői felé. Az eBPF program az első processzorok között indul, és a hálózati verem legalacsonyabb szintjén fut, ami lehetővé teszi a hátsó ajtó hálózati tevékenységének elrejtését, beleértve a később elindított elemzők elől is.
A Simbiote azt is lehetővé teszi, hogy megkerüljön néhány tevékenységelemzőt a fájlrendszerben, mivel a bizalmas adatok ellopása nem a fájlok megnyitásának szintjén hajtható végre, hanem az olvasási műveletek elfogásával ezekből a fájlokból legitim alkalmazásokban (például a könyvtár helyettesítése). funkciók lehetővé teszik, hogy elfogja a felhasználót, aki jelszót ír be vagy fájlból tölt be adatokat a hozzáférési kulccsal). A távoli bejelentkezés megszervezéséhez a Simbiote elfog néhány PAM-hívást (Pluggable Authentication Module), amely lehetővé teszi, hogy bizonyos támadó hitelesítő adatokkal SSH-n keresztül csatlakozzon a rendszerhez. Van egy rejtett lehetőség is, amellyel a HTTP_SETTHIS környezeti változó beállításával növelheti a root felhasználó jogosultságait.
Forrás: opennet.ru