Vísindamenn frá Intezer og BlackBerry hafa uppgötvað spilliforrit með kóðanafninu Simbiote, sem er notað til að sprauta bakdyrum og rótarbúnaði inn á netþjóna sem keyra Linux í hættu. Spilliforrit fannst á kerfum fjármálastofnana í nokkrum löndum Suður-Ameríku. Til að setja Simbiote upp á kerfi þarf árásarmaður að hafa rótaraðgang, sem hægt er að fá, til dæmis, vegna nýtingar á óuppfærðum veikleikum eða reikningsleka. Simbiote gerir þér kleift að treysta nærveru þína í kerfinu eftir að hafa brotist inn til að framkvæma frekari árásir, fela virkni annarra illgjarnra forrita og skipuleggja hlerun trúnaðargagna.
Sérstakur eiginleiki Simbiote er að því er dreift í formi sameiginlegs bókasafns, sem er hlaðið við ræsingu allra ferla með því að nota LD_PRELOAD vélbúnaðinn og kemur í stað sumra símtala í staðlaða bókasafnið. Meðhöndlunarsímtala með svikum fela starfsemi sem tengist bakdyrum, eins og að útiloka tiltekna hluti á ferlilistanum, loka fyrir aðgang að ákveðnum skrám í /proc, fela skrár í möppum, útiloka skaðlegt samnýtt bókasafn í ldd úttak (ræna framkvæmdaaðgerðinni og greina símtöl með umhverfisbreytan LD_TRACE_LOADED_OBJECTS) sýna ekki nettengi sem tengjast illgjarnri virkni.
Til að verjast umferðarskoðun eru libpcap bókasafnsaðgerðirnar endurskilgreindar, /proc/net/tcp lessíun og eBPF forrit er hlaðið inn í kjarnann, sem kemur í veg fyrir virkni umferðargreiningartækja og fleygir beiðnum frá þriðja aðila til sinna eigin netmeðhöndla. eBPF forritið er hleypt af stokkunum meðal fyrstu örgjörvanna og er keyrt á lægsta stigi netstaflans, sem gerir þér kleift að fela netvirkni bakdyranna, þar á meðal frá greiningartækjum sem settir eru af stað síðar.
Simbiote gerir þér einnig kleift að komast framhjá sumum virknigreiningartækjum í skráarkerfinu, þar sem þjófnaður á trúnaðargögnum er ekki hægt að framkvæma á því stigi að opna skrár, heldur með því að stöðva lestraraðgerðir úr þessum skrám í lögmætum forritum (td skipta um bókasafn aðgerðir gerir þér kleift að stöðva notandann sem slær inn lykilorð eða hleður úr skráargögnum með aðgangslykli). Til að skipuleggja fjarinnskráningu, hlerar Simbiote nokkur PAM símtöl (Pluggable Authentication Module), sem gerir þér kleift að tengjast kerfinu í gegnum SSH með ákveðnum árásarskilríkjum. Það er líka falinn valkostur til að auka réttindi þín til rótarnotandans með því að stilla HTTP_SETTHIS umhverfisbreytuna.
Heimild: opennet.ru