Intezer және BlackBerry зерттеушілері Simbiote кодтық атауы бар зиянды бағдарламаны тапты, ол Linux жүйесімен жұмыс істейтін бұзылған серверлерге бэкдорлар мен руткиттер енгізу үшін қолданылады. Латын Америкасының бірнеше елдеріндегі қаржы институттарының жүйесінде зиянды бағдарлама анықталды. Жүйеге Simbiote орнату үшін шабуылдаушыда, мысалы, түзетілмеген осалдықтарды пайдалану немесе есептік жазбаның ағып кетуі нәтижесінде алуға болатын түбірлік рұқсат болуы керек. Simbiote одан әрі шабуылдар жасау, басқа зиянды қолданбалардың белсенділігін жасыру және құпия деректерді ұстауды ұйымдастыру үшін бұзудан кейін жүйеде қатысуыңызды біріктіруге мүмкіндік береді.
Simbiote бағдарламасының ерекшелігі - ол LD_PRELOAD механизмі арқылы барлық процестерді іске қосу кезінде жүктелетін және стандартты кітапханаға кейбір шақыруларды ауыстыратын ортақ кітапхана түрінде таратылады. Жалған қоңырауларды өңдеушілер процестер тізіміндегі белгілі бір элементтерді шығару, /proc ішіндегі белгілі файлдарға кіруді блоктау, каталогтардағы файлдарды жасыру, ldd шығысындағы зиянды ортақ кітапхананы қоспау (execve функциясын ұрлау және қоңырауларды талдау) сияқты бэкдорға қатысты әрекетті жасырады. LD_TRACE_LOADED_OBJECTS ортасының айнымалы мәні) зиянды әрекетпен байланысты желілік ұяшықтарды көрсетпейді.
Трафикті тексеруден қорғау үшін libpcap кітапханасының функциялары қайта анықталады, /proc/net/tcp оқу сүзгісі және ядроға eBPF бағдарламасы жүктеледі, ол трафик анализаторларының жұмысына кедергі келтіреді және өзінің желі өңдеушілеріне үшінші тарап сұрауларын қабылдамайды. eBPF бағдарламасы алғашқы процессорлар арасында іске қосылады және желілік стектің ең төменгі деңгейінде орындалады, бұл бэкдордың желілік белсенділігін, оның ішінде кейінірек іске қосылған анализаторлардан жасыруға мүмкіндік береді.
Simbiote сонымен қатар файлдық жүйедегі кейбір белсенділік анализаторларын айналып өтуге мүмкіндік береді, өйткені құпия деректерді ұрлау файлдарды ашу деңгейінде емес, заңды қолданбаларда осы файлдардан оқу операцияларын ұстау арқылы жүзеге асырылуы мүмкін (мысалы, кітапхананы ауыстыру функциялары пайдаланушының құпия сөзді енгізуін немесе кіру пернесі арқылы файл деректерінен жүктеуді тоқтатуға мүмкіндік береді). Қашықтан кіруді ұйымдастыру үшін Simbiote белгілі бір шабуылдаушы тіркелгі деректерімен SSH арқылы жүйеге қосылуға мүмкіндік беретін кейбір PAM қоңырауларын (Pluggable Authentication Module) ұстайды. Сондай-ақ, HTTP_SETTHIS ортасының айнымалы мәнін орнату арқылы түбірлік пайдаланушыға артықшылықтарыңызды арттырудың жасырын опциясы бар.
Ақпарат көзі: opennet.ru