Para peneliti dari Intezer dan BlackBerry telah menemukan malware dengan nama kode Simbiote, yang digunakan untuk menyuntikkan backdoor dan rootkit ke server yang menjalankan Linux. Malware terdeteksi pada sistem lembaga keuangan di beberapa negara Amerika Latin. Untuk menginstal Simbiote pada suatu sistem, penyerang harus memiliki akses root, yang dapat diperoleh, misalnya, dengan mengeksploitasi kerentanan yang belum ditambal atau kebocoran akun. Simbiote memungkinkan Anda mengkonsolidasikan kehadiran Anda di sistem setelah peretasan untuk melakukan serangan lebih lanjut, menyembunyikan aktivitas aplikasi jahat lainnya, dan mengatur intersepsi data rahasia.
Fitur khusus Simbiote adalah didistribusikan dalam bentuk perpustakaan bersama, yang dimuat ketika semua proses dimulai menggunakan mekanisme LD_PRELOAD dan menggantikan beberapa panggilan ke perpustakaan standar. Penangan panggilan palsu menyembunyikan aktivitas terkait pintu belakang, seperti mengecualikan item tertentu dalam daftar proses, memblokir akses ke file tertentu di /proc, menyembunyikan file di direktori, mengecualikan pustaka bersama yang berbahaya di keluaran ldd (membajak fungsi execve dan menganalisis panggilan dengan variabel lingkungan LD_TRACE_LOADED_OBJECTS) tidak menampilkan soket jaringan yang terkait dengan aktivitas jahat.
Untuk melindungi dari inspeksi lalu lintas, fungsi perpustakaan libpcap didefinisikan ulang, pemfilteran baca /proc/net/tcp dan program eBPF dimuat ke dalam kernel, yang mencegah pengoperasian penganalisis lalu lintas dan membuang permintaan pihak ketiga ke penangan jaringannya sendiri. Program eBPF diluncurkan di antara prosesor pertama dan dijalankan pada tingkat terendah dari tumpukan jaringan, yang memungkinkan Anda menyembunyikan aktivitas jaringan pintu belakang, termasuk dari penganalisis yang diluncurkan kemudian.
Simbiote juga memungkinkan Anda untuk melewati beberapa penganalisis aktivitas dalam sistem file, karena pencurian data rahasia dapat dilakukan bukan pada tingkat pembukaan file, tetapi melalui intersepsi operasi baca dari file-file ini dalam aplikasi yang sah (misalnya, substitusi perpustakaan fungsi memungkinkan Anda untuk mencegat pengguna yang memasukkan kata sandi atau memuat data dari file dengan kunci akses). Untuk mengatur login jarak jauh, Simbiote mencegat beberapa panggilan PAM (Pluggable Authentication Module), yang memungkinkan Anda terhubung ke sistem melalui SSH dengan kredensial serangan tertentu. Ada juga opsi tersembunyi untuk meningkatkan hak istimewa Anda ke pengguna root dengan mengatur variabel lingkungan HTTP_SETTHIS.
Sumber: opennet.ru