I ricercatori di Intezer e BlackBerry hanno scoperto un malware con nome in codice Simbiote, che viene utilizzato per iniettare backdoor e rootkit nei server compromessi che eseguono Linux. Sono stati rilevati malware nei sistemi di istituti finanziari in diversi paesi dell'America Latina. Per installare Simbiote su un sistema, un utente malintenzionato deve avere accesso root, che può essere ottenuto, ad esempio, sfruttando vulnerabilità senza patch o fughe di account. Simbiote ti consente di consolidare la tua presenza nel sistema dopo l'hacking per effettuare ulteriori attacchi, nascondere l'attività di altre applicazioni dannose e organizzare l'intercettazione di dati riservati.
Una caratteristica speciale di Simbiote è che è distribuito sotto forma di libreria condivisa, che viene caricata durante l'avvio di tutti i processi utilizzando il meccanismo LD_PRELOAD e sostituisce alcune chiamate alla libreria standard. I gestori delle chiamate contraffatte nascondono attività legate alle backdoor, come escludere elementi specifici nell'elenco dei processi, bloccare l'accesso a determinati file in /proc, nascondere file nelle directory, escludere librerie condivise dannose nell'output ldd (dirottando la funzione execve e analizzando le chiamate con un variabile di ambiente LD_TRACE_LOADED_OBJECTS) non mostrano i socket di rete associati ad attività dannose.
Per proteggersi dall'ispezione del traffico, le funzioni della libreria libpcap vengono ridefinite, il filtro di lettura /proc/net/tcp e un programma eBPF viene caricato nel kernel, che impedisce il funzionamento degli analizzatori di traffico e scarta le richieste di terze parti ai propri gestori di rete. Il programma eBPF viene avviato tra i primi processori e viene eseguito al livello più basso dello stack di rete, consentendo di nascondere l'attività di rete della backdoor, anche agli analizzatori avviati successivamente.
Simbiote consente anche di aggirare alcuni analizzatori di attività nel file system, poiché il furto di dati riservati può essere effettuato non a livello di apertura dei file, ma intercettando le operazioni di lettura di questi file in applicazioni legittime (ad esempio, sostituzione della libreria permette di intercettare l'utente che inserisce una password o carica da un file dati con chiave di accesso). Per organizzare il login remoto, Simbiote intercetta alcune chiamate PAM (Pluggable Authentication Module), che consentono di connettersi al sistema tramite SSH con determinate credenziali di attacco. C'è anche un'opzione nascosta per aumentare i tuoi privilegi per l'utente root impostando la variabile d'ambiente HTTP_SETTHIS.
Fonte: opennet.ru