Intezer-ի և BlackBerry-ի հետազոտողները հայտնաբերել են Simbiote ծածկանունով չարամիտ ծրագիր, որն օգտագործվում է հետնախորշեր և rootkits ներարկելու համար վտանգված սերվերներ, որոնք աշխատում են Linux-ով: Լատինական Ամերիկայի մի շարք երկրների ֆինանսական հաստատությունների համակարգերում հայտնաբերվել է չարամիտ ծրագիր։ Simbiote-ը համակարգում տեղադրելու համար հարձակվողը պետք է ունենա արմատային հասանելիություն, որը կարելի է ձեռք բերել, օրինակ, չփակված խոցելիության կամ հաշվի արտահոսքի արդյունքում: Simbiote-ը թույլ է տալիս հակերացումից հետո համախմբել ձեր ներկայությունը համակարգում՝ հետագա հարձակումներ իրականացնելու, այլ վնասակար հավելվածների գործունեությունը թաքցնելու և գաղտնի տվյալների գաղտնալսումը կազմակերպելու համար:
Simbiote-ի առանձնահատուկ առանձնահատկությունն այն է, որ այն բաշխվում է ընդհանուր գրադարանի տեսքով, որը բեռնվում է բոլոր գործընթացների գործարկման ժամանակ՝ օգտագործելով LD_PRELOAD մեխանիզմը և փոխարինում է ստանդարտ գրադարանի որոշ զանգեր: Կեղծված զանգերի մշակողները թաքցնում են հետին դռների հետ կապված գործունեությունը, ինչպիսիք են՝ բացառել որոշակի տարրեր գործընթացի ցանկում, արգելափակել մուտքը դեպի որոշ ֆայլեր /proc-ում, թաքցնել ֆայլերը գրացուցակներում, բացառել վնասակար համօգտագործվող գրադարանը ldd ելքում (առևանգել execve ֆունկցիան և վերլուծել զանգերը շրջակա միջավայրի փոփոխական LD_TRACE_LOADED_OBJECTS) չեն ցուցադրում չարամիտ գործունեության հետ կապված ցանցային վարդակներ:
Երթևեկության ստուգումից պաշտպանվելու համար libpcap գրադարանի գործառույթները վերասահմանվում են, /proc/net/tcp կարդալու զտումը և eBPF ծրագիրը բեռնվում է միջուկում, որը կանխում է երթևեկության անալիզատորների աշխատանքը և մերժում է երրորդ կողմի հարցումները սեփական ցանցի մշակողներին: eBPF ծրագիրը գործարկվել է առաջին պրոցեսորների շարքում և իրականացվում է ցանցի ստեկի ամենացածր մակարդակում, ինչը թույլ է տալիս թաքցնել հետնախորշի ցանցային գործունեությունը, ներառյալ ավելի ուշ գործարկված անալիզատորներից:
Simbiote-ը նաև թույլ է տալիս շրջանցել որոշ ակտիվության անալիզատորներ ֆայլային համակարգում, քանի որ գաղտնի տվյալների գողությունը կարող է իրականացվել ոչ թե ֆայլերի բացման մակարդակով, այլ օրինական հավելվածներում այդ ֆայլերից կարդալու գործողությունների ընդհատման միջոցով (օրինակ՝ գրադարանի փոխարինում գործառույթները թույլ են տալիս ընդհատել օգտվողին, որը մուտքագրում է գաղտնաբառ կամ բեռնում է ֆայլի տվյալները մուտքի ստեղնով): Հեռավոր մուտքը կազմակերպելու համար Simbiote-ն ընդհատում է որոշ PAM զանգեր (Pluggable Authentication Module), որը թույլ է տալիս համակարգին միանալ SSH-ի միջոցով որոշակի հարձակողական հավատարմագրերով: Կա նաև թաքնված տարբերակ՝ ձեր արտոնությունները արմատական օգտագործողին ավելացնելու համար՝ սահմանելով HTTP_SETTHIS միջավայրի փոփոխականը:
Source: opennet.ru