חוקרים מ-Intezer ו-BlackBerry גילו תוכנות זדוניות בשם הקוד Simbiote, המשמשות להחדרת דלתות אחוריות ו-rootkits לשרתים שנפגעו עם לינוקס. תוכנה זדונית זוהתה במערכות של מוסדות פיננסיים במספר מדינות באמריקה הלטינית. כדי להתקין את Simbiote על מערכת, לתוקף חייבת להיות גישת שורש, אותה ניתן לקבל, למשל, כתוצאה מניצול פגיעויות שלא תואמו או דליפות חשבון. Simbiote מאפשרת לך לגבש את נוכחותך במערכת לאחר פריצה כדי לבצע התקפות נוספות, להסתיר פעילות של אפליקציות זדוניות אחרות ולארגן יירוט של נתונים סודיים.
תכונה מיוחדת של Simbiote היא שהיא מופצת בצורה של ספרייה משותפת, הנטענת במהלך ההפעלה של כל התהליכים באמצעות מנגנון LD_PRELOAD ומחליפה כמה קריאות לספרייה הסטנדרטית. מטפלי שיחות מזויפות מסתירים פעילות הקשורה לדלת אחורית, כגון אי הכללת פריטים ספציפיים ברשימת התהליך, חסימת גישה לקבצים מסוימים ב-/proc, הסתרת קבצים בספריות, אי הכללה של ספרייה משותפת זדונית בפלט ldd (חטיפת פונקציית ה-Execve וניתוח שיחות באמצעות משתנה הסביבה LD_TRACE_LOADED_OBJECTS) אינם מציגים שקעי רשת הקשורים לפעילות זדונית.
כדי להגן מפני בדיקת תעבורה, פונקציות ספריית libpcap מוגדרות מחדש, /proc/net/tcp סינון קריאה ותוכנית eBPF נטענת לליבה, המונעת את פעולת מנתחי התעבורה ומבטלת בקשות של צד שלישי למטפלי הרשת שלה. תוכנית eBPF מושקת בין המעבדים הראשונים ומבוצעת ברמה הנמוכה ביותר של ערימת הרשת, מה שמאפשר להסתיר את פעילות הרשת של הדלת האחורית, כולל מנתחים שהושקו מאוחר יותר.
Simbiote גם מאפשרת לך לעקוף כמה מנתחי פעילות במערכת הקבצים, שכן גניבת נתונים חסויים יכולה להתבצע לא ברמת פתיחת קבצים, אלא באמצעות יירוט פעולות קריאה מקבצים אלה ביישומים לגיטימיים (לדוגמה, החלפת ספריה פונקציות מאפשרות ליירט את המשתמש שמזין סיסמה או טעינת נתוני קובץ עם מפתח גישה). כדי לארגן התחברות מרחוק, Simbiote מיירט כמה קריאות PAM (Pluggable Authentication Module), המאפשר לך להתחבר למערכת באמצעות SSH עם אישורים תוקפים מסוימים. ישנה גם אפשרות נסתרת להגדיל את ההרשאות שלך למשתמש השורש על ידי הגדרת משתנה הסביבה HTTP_SETTHIS.
מקור: OpenNet.ru