Intezer と BlackBerry の研究者は、Linux を実行している侵害されたサーバーにバックドアとルートキットを挿入するために使用される、コード名 Simbiote というマルウェアを発見しました。 ラテンアメリカのいくつかの国の金融機関のシステムでマルウェアが検出されました。 Simbiote をシステムにインストールするには、攻撃者は root アクセス権を持っている必要があります。root アクセス権は、たとえば、パッチが適用されていない脆弱性の悪用やアカウント漏洩の結果として取得される可能性があります。 Simbiote を使用すると、ハッキング後にシステム内の自分の存在を統合して、さらなる攻撃を実行したり、他の悪意のあるアプリケーションのアクティビティを隠したり、機密データの傍受を組織したりすることができます。
Simbiote の特別な機能は、共有ライブラリの形式で配布されることです。共有ライブラリは、LD_PRELOAD メカニズムを使用してすべてのプロセスの起動中にロードされ、標準ライブラリへの一部の呼び出しを置き換えます。 スプーフィングされたコール ハンドラーは、プロセス リスト内の特定の項目の除外、/proc 内の特定のファイルへのアクセスのブロック、ディレクトリ内のファイルの隠蔽、ldd 出力内の悪意のある共有ライブラリの除外 (execve 関数のハイジャックや、環境変数 LD_TRACE_LOADED_OBJECTS) は、悪意のあるアクティビティに関連付けられたネットワーク ソケットを表示しません。
トラフィック検査から保護するために、libpcap ライブラリ関数が再定義され、/proc/net/tcp 読み取りフィルタリングと eBPF プログラムがカーネルにロードされます。これにより、トラフィック アナライザーの動作が防止され、独自のネットワーク ハンドラーに対するサードパーティの要求が破棄されます。 eBPF プログラムは最初のプロセッサ間で起動され、ネットワーク スタックの最下位レベルで実行されます。これにより、後から起動されるアナライザーなどからバックドアのネットワーク アクティビティを隠すことができます。
Simbiote を使用すると、ファイル システム内の一部のアクティビティ アナライザーをバイパスすることもできます。これは、機密データの盗難は、ファイルを開くレベルではなく、正規のアプリケーションでこれらのファイルからの読み取り操作を傍受することによって実行される可能性があるためです (たとえば、ライブラリの置換)この機能を使用すると、ユーザーがパスワードを入力したり、アクセス キーを使用してファイル データをロードしたりするのを傍受できます。 リモート ログインを組織するために、Simbiote は一部の PAM 呼び出し (Pluggable Authentication Module) を傍受します。これにより、特定の攻撃資格情報を使用して SSH 経由でシステムに接続できるようになります。 HTTP_SETTHIS 環境変数を設定することで、root ユーザーへの権限を高めるための隠しオプションもあります。
出所: オープンネット.ru