ProHoster > Блог > ozi ịntanetị > Simbiote bụ Linux malware na-eji eBPF na LD_PRELOAD zoo

Simbiote bụ Linux malware na-eji eBPF na LD_PRELOAD zoo

Ndị nyocha sitere na Intezer na Blackberry achọpụtala malware akpọrọ Simbiote, bụ nke a na-eji etinye azụ azụ na rootkits n'ime sava ndị mebiri emebi na-agba Linux. Achọpụtara Malware na sistemu ụlọ ọrụ ego n'ọtụtụ mba Latin America. Iji wụnye Simbiote na sistemụ, onye na-awakpo ga-enwerịrị ohere mgbọrọgwụ, nke enwere ike nweta, dịka ọmụmaatụ, n'ihi na-erigbu adịghị ike na-enweghị ike ma ọ bụ nkwụsị akaụntụ. Simbiote na-enye gị ohere ime ka ọnụnọ gị dị na sistemụ ahụ mgbe ịwachara ahụ iji mee mwakpo ọzọ, zoo ọrụ nke ngwa ọjọọ ndị ọzọ wee hazie ntinye nke data nzuzo.

Akụkụ pụrụ iche nke Simbiote bụ na a na-ekesa ya n'ụdị ọbá akwụkwọ nkekọrịta, nke a na-ebugharị n'oge mmalite nke usoro niile site na iji usoro LD_PRELOAD ma dochie ụfọdụ oku na-aga n'ọbá akwụkwọ ọkọlọtọ. Ndị na-ahụ maka ịkpọ oku na-ezochi ihe omume metụtara azụ, dị ka ewepu ụfọdụ ihe dị na ndepụta usoro, igbochi ịnweta ụfọdụ faịlụ na / proc, na-ezo faịlụ na akwụkwọ ndekọ aha, ewepu obi ọjọọ na-ekekọrịta n'ọbá akwụkwọ na mmepụta ldd (jide ọrụ execve na nyochaa oku site na iji ihe). mgbanwe gburugburu LD_TRACE_LOADED_OBJECTS) anaghị egosi sọks netwọk metụtara arụrụ arụ.

Iji chebe megide nyocha okporo ụzọ, a na-akọwagharị ọrụ ọbá akwụkwọ libpcap, /proc/net/tcp gụpụta nzacha na a na-etinye mmemme eBPF n'ime kernel, nke na-egbochi ọrụ nke ndị na-enyocha okporo ụzọ ma tụfuo arịrịọ ndị ọzọ n'aka ndị na-ahụ maka netwọkụ ya. Emere mmemme eBPF n'etiti ndị nrụpụta mbụ wee gbuo ya na ọkwa kacha ala nke nchịkọta netwọkụ, nke na-enye gị ohere izochi ọrụ netwọkụ nke azụ azụ, gụnyere site na ndị nyocha emechara.

Simbiote na-enyekwa gị ohere ịgafe ụfọdụ ndị na-enyocha ọrụ na sistemụ faịlụ, ebe ọ bụ na izu ohi nke data nzuzo nwere ike ọ bụghị na ọkwa nke imeghe faịlụ, kama site na igbochi ọrụ ịgụ site na faịlụ ndị a na ngwa ziri ezi (dịka ọmụmaatụ, nnọchi nke ọbá akwụkwọ). Ọrụ na-enye gị ohere igbochi onye ọrụ na-abanye paswọọdụ ma ọ bụ na-ebufe data faịlụ nwere igodo nnweta). Iji hazie nbanye dịpụrụ adịpụ, Simbiote na-egbochi ụfọdụ oku PAM (Module Nyocha Pluggable), nke na-enye gị ohere ijikọ na sistemụ site na SSH na ụfọdụ nzere mbuso agha. Enwekwara nhọrọ ezoro ezo iji bulie ihe ùgwù gị na onye ọrụ mgbọrọgwụ site na ịtọ mgbanwe ọnọdụ HTTP_SETHIS.

Simbiote - malware Linux na-eji eBPF na LD_PRELOAD zoo


isi: opennet.ru

Tinye a comment