Peneliti saka Intezer lan BlackBerry wis nemokake malware codenamed Simbiote, sing digunakake kanggo nyuntikake backdoors lan rootkit menyang server kompromi sing nganggo Linux. Malware dideteksi ing sistem lembaga keuangan ing sawetara negara Amerika Latin. Kanggo nginstal Simbiote ing sistem, panyerang kudu duwe akses root, sing bisa dipikolehi, contone, minangka akibat saka ngeksploitasi kerentanan sing ora ditambal utawa bocor akun. Simbiote ngidini sampeyan nggabungake kehadiran sampeyan ing sistem sawise hacking kanggo nindakake serangan luwih lanjut, ndhelikake kegiatan aplikasi jahat liyane lan ngatur interception data rahasia.
Fitur khusus Simbiote yaiku disebarake ing wangun perpustakaan sing dienggo bareng, sing dimuat nalika wiwitan kabeh proses nggunakake mekanisme LD_PRELOAD lan ngganti sawetara telpon menyang perpustakaan standar. Panangan telpon palsu ndhelikake aktivitas sing ana hubungane karo backdoor, kayata ora kalebu item tartamtu ing dhaptar proses, mblokir akses menyang file tartamtu ing /proc, ndhelikake file ing direktori, ora kalebu perpustakaan bareng sing mbebayani ing output ldd (mbajakan fungsi execve lan nganalisa telpon nganggo variabel lingkungan LD_TRACE_LOADED_OBJECTS) ora nuduhake soket jaringan sing digandhengake karo kegiatan angkoro.
Kanggo nglindhungi saka pengawasan lalu lintas, fungsi perpustakaan libpcap ditetepake maneh, / proc / net / tcp maca nyaring lan program eBPF dimuat menyang kernel, kang ngalangi operasi saka analisa lalu lintas lan discards panjalukan pihak katelu kanggo pawang jaringan dhewe. Program eBPF diluncurake ing antarane prosesor pertama lan dieksekusi ing tingkat paling ngisor tumpukan jaringan, sing ngidini sampeyan ndhelikake kegiatan jaringan ing backdoor, kalebu saka analisa sing diluncurake mengko.
Simbiote uga ngidini sampeyan ngliwati sawetara penganalisis aktivitas ing sistem file, amarga nyolong data rahasia bisa ditindakake ora ing tingkat mbukak file, nanging liwat intercepting operasi maca saka file kasebut ing aplikasi sing sah (contone, substitusi perpustakaan. fungsi ngidini sampeyan nyegat pangguna ngetik sandhi utawa loading saka data file karo tombol akses). Kanggo ngatur login remot, Simbiote nyegat sawetara telpon PAM (Modul Authentication Pluggable), sing ngidini sampeyan nyambungake menyang sistem liwat SSH kanthi kredensial nyerang tartamtu. Ana uga pilihan sing didhelikake kanggo nambah hak istimewa kanggo pangguna root kanthi nyetel variabel lingkungan HTTP_SETTHIS.
Source: opennet.ru