Intezer ಮತ್ತು BlackBerry ಯ ಸಂಶೋಧಕರು ಸಿಂಬಿಯೋಟ್ ಎಂಬ ಸಂಕೇತನಾಮದ ಮಾಲ್ವೇರ್ ಅನ್ನು ಕಂಡುಹಿಡಿದಿದ್ದಾರೆ, ಇದನ್ನು ಲಿನಕ್ಸ್ ಚಾಲನೆಯಲ್ಲಿರುವ ರಾಜಿ ಸರ್ವರ್ಗಳಿಗೆ ಬ್ಯಾಕ್ಡೋರ್ಗಳು ಮತ್ತು ರೂಟ್ಕಿಟ್ಗಳನ್ನು ಸೇರಿಸಲು ಬಳಸಲಾಗುತ್ತದೆ. ಹಲವಾರು ಲ್ಯಾಟಿನ್ ಅಮೇರಿಕನ್ ದೇಶಗಳಲ್ಲಿನ ಹಣಕಾಸು ಸಂಸ್ಥೆಗಳ ವ್ಯವಸ್ಥೆಗಳಲ್ಲಿ ಮಾಲ್ವೇರ್ ಪತ್ತೆಯಾಗಿದೆ. ಸಿಂಬಿಯೋಟ್ ಅನ್ನು ಸಿಸ್ಟಮ್ನಲ್ಲಿ ಸ್ಥಾಪಿಸಲು, ಆಕ್ರಮಣಕಾರರು ರೂಟ್ ಪ್ರವೇಶವನ್ನು ಹೊಂದಿರಬೇಕು, ಉದಾಹರಣೆಗೆ, ಅನ್ಪ್ಯಾಚ್ ಮಾಡದ ದುರ್ಬಲತೆಗಳು ಅಥವಾ ಖಾತೆ ಸೋರಿಕೆಯನ್ನು ಬಳಸಿಕೊಳ್ಳುವ ಪರಿಣಾಮವಾಗಿ ಪಡೆಯಬಹುದು. ಮತ್ತಷ್ಟು ದಾಳಿಗಳನ್ನು ನಡೆಸಲು, ಇತರ ದುರುದ್ದೇಶಪೂರಿತ ಅಪ್ಲಿಕೇಶನ್ಗಳ ಚಟುವಟಿಕೆಯನ್ನು ಮರೆಮಾಡಲು ಮತ್ತು ಗೌಪ್ಯ ಡೇಟಾದ ಪ್ರತಿಬಂಧವನ್ನು ಸಂಘಟಿಸಲು ಹ್ಯಾಕಿಂಗ್ ಮಾಡಿದ ನಂತರ ನಿಮ್ಮ ಉಪಸ್ಥಿತಿಯನ್ನು ಸಿಸ್ಟಮ್ನಲ್ಲಿ ಕ್ರೋಢೀಕರಿಸಲು ಸಿಂಬಿಯೋಟ್ ನಿಮಗೆ ಅನುಮತಿಸುತ್ತದೆ.
ಸಿಂಬಿಯೋಟ್ನ ವಿಶೇಷ ಲಕ್ಷಣವೆಂದರೆ ಅದು ಹಂಚಿದ ಲೈಬ್ರರಿಯ ರೂಪದಲ್ಲಿ ವಿತರಿಸಲ್ಪಡುತ್ತದೆ, ಇದು LD_PRELOAD ಕಾರ್ಯವಿಧಾನವನ್ನು ಬಳಸಿಕೊಂಡು ಎಲ್ಲಾ ಪ್ರಕ್ರಿಯೆಗಳ ಪ್ರಾರಂಭದ ಸಮಯದಲ್ಲಿ ಲೋಡ್ ಆಗುತ್ತದೆ ಮತ್ತು ಪ್ರಮಾಣಿತ ಗ್ರಂಥಾಲಯಕ್ಕೆ ಕೆಲವು ಕರೆಗಳನ್ನು ಬದಲಾಯಿಸುತ್ತದೆ. ವಂಚನೆಯ ಕರೆ ಹ್ಯಾಂಡ್ಲರ್ಗಳು ಹಿಂಬಾಗಿಲು-ಸಂಬಂಧಿತ ಚಟುವಟಿಕೆಯನ್ನು ಮರೆಮಾಡುತ್ತಾರೆ, ಉದಾಹರಣೆಗೆ ಪ್ರಕ್ರಿಯೆ ಪಟ್ಟಿಯಲ್ಲಿರುವ ನಿರ್ದಿಷ್ಟ ಐಟಂಗಳನ್ನು ಹೊರತುಪಡಿಸಿ, /proc ನಲ್ಲಿ ಕೆಲವು ಫೈಲ್ಗಳಿಗೆ ಪ್ರವೇಶವನ್ನು ನಿರ್ಬಂಧಿಸುವುದು, ಡೈರೆಕ್ಟರಿಗಳಲ್ಲಿ ಫೈಲ್ಗಳನ್ನು ಮರೆಮಾಡುವುದು, ldd ಔಟ್ಪುಟ್ನಲ್ಲಿ ದುರುದ್ದೇಶಪೂರಿತ ಹಂಚಿಕೆಯ ಲೈಬ್ರರಿಯನ್ನು ಹೊರತುಪಡಿಸಿ (ಎಕ್ಸಿಕ್ವ್ ಕಾರ್ಯವನ್ನು ಹೈಜಾಕ್ ಮಾಡುವುದು ಮತ್ತು ಕರೆಗಳನ್ನು ವಿಶ್ಲೇಷಿಸುವುದು ಪರಿಸರ ವೇರಿಯೇಬಲ್ LD_TRACE_LOADED_OBJECTS) ದುರುದ್ದೇಶಪೂರಿತ ಚಟುವಟಿಕೆಯೊಂದಿಗೆ ಸಂಬಂಧಿಸಿದ ನೆಟ್ವರ್ಕ್ ಸಾಕೆಟ್ಗಳನ್ನು ತೋರಿಸುವುದಿಲ್ಲ.
ಟ್ರಾಫಿಕ್ ತಪಾಸಣೆಯಿಂದ ರಕ್ಷಿಸಲು, libpcap ಲೈಬ್ರರಿ ಕಾರ್ಯಗಳನ್ನು ಮರು ವ್ಯಾಖ್ಯಾನಿಸಲಾಗಿದೆ, /proc/net/tcp ರೀಡ್ ಫಿಲ್ಟರಿಂಗ್ ಮತ್ತು eBPF ಪ್ರೋಗ್ರಾಂ ಅನ್ನು ಕರ್ನಲ್ಗೆ ಲೋಡ್ ಮಾಡಲಾಗುತ್ತದೆ, ಇದು ಟ್ರಾಫಿಕ್ ವಿಶ್ಲೇಷಕಗಳ ಕಾರ್ಯಾಚರಣೆಯನ್ನು ತಡೆಯುತ್ತದೆ ಮತ್ತು ಅದರ ಸ್ವಂತ ನೆಟ್ವರ್ಕ್ ಹ್ಯಾಂಡ್ಲರ್ಗಳಿಗೆ ಮೂರನೇ ವ್ಯಕ್ತಿಯ ವಿನಂತಿಗಳನ್ನು ತಿರಸ್ಕರಿಸುತ್ತದೆ. eBPF ಪ್ರೋಗ್ರಾಂ ಅನ್ನು ಮೊದಲ ಪ್ರೊಸೆಸರ್ಗಳಲ್ಲಿ ಪ್ರಾರಂಭಿಸಲಾಗಿದೆ ಮತ್ತು ನೆಟ್ವರ್ಕ್ ಸ್ಟಾಕ್ನ ಕಡಿಮೆ ಮಟ್ಟದಲ್ಲಿ ಕಾರ್ಯಗತಗೊಳಿಸಲಾಗುತ್ತದೆ, ಇದು ನಂತರ ಪ್ರಾರಂಭಿಸಲಾದ ವಿಶ್ಲೇಷಕಗಳನ್ನು ಒಳಗೊಂಡಂತೆ ಹಿಂಬಾಗಿಲಿನ ನೆಟ್ವರ್ಕ್ ಚಟುವಟಿಕೆಯನ್ನು ಮರೆಮಾಡಲು ನಿಮಗೆ ಅನುಮತಿಸುತ್ತದೆ.
ಫೈಲ್ ಸಿಸ್ಟಮ್ನಲ್ಲಿ ಕೆಲವು ಚಟುವಟಿಕೆ ವಿಶ್ಲೇಷಕಗಳನ್ನು ಬೈಪಾಸ್ ಮಾಡಲು ಸಿಂಬಿಯೋಟ್ ನಿಮಗೆ ಅನುಮತಿಸುತ್ತದೆ, ಏಕೆಂದರೆ ಗೌಪ್ಯ ಡೇಟಾದ ಕಳ್ಳತನವನ್ನು ಫೈಲ್ಗಳನ್ನು ತೆರೆಯುವ ಮಟ್ಟದಲ್ಲಿ ನಡೆಸಲಾಗುವುದಿಲ್ಲ, ಆದರೆ ಕಾನೂನುಬದ್ಧ ಅಪ್ಲಿಕೇಶನ್ಗಳಲ್ಲಿ ಈ ಫೈಲ್ಗಳಿಂದ ಓದುವ ಕಾರ್ಯಾಚರಣೆಗಳನ್ನು ಪ್ರತಿಬಂಧಿಸುವ ಮೂಲಕ (ಉದಾಹರಣೆಗೆ, ಲೈಬ್ರರಿಯ ಪರ್ಯಾಯ ಪ್ರವೇಶ ಕೀಲಿಯೊಂದಿಗೆ ಫೈಲ್ ಡೇಟಾದಿಂದ ಪಾಸ್ವರ್ಡ್ ನಮೂದಿಸುವ ಅಥವಾ ಲೋಡ್ ಮಾಡುವ ಬಳಕೆದಾರರನ್ನು ಪ್ರತಿಬಂಧಿಸಲು ಕಾರ್ಯಗಳು ನಿಮಗೆ ಅನುಮತಿಸುತ್ತದೆ). ರಿಮೋಟ್ ಲಾಗಿನ್ ಅನ್ನು ಸಂಘಟಿಸಲು, ಸಿಂಬಿಯೋಟ್ ಕೆಲವು PAM ಕರೆಗಳನ್ನು ಪ್ರತಿಬಂಧಿಸುತ್ತದೆ (ಪ್ಲಗ್ ಮಾಡಬಹುದಾದ ದೃಢೀಕರಣ ಮಾಡ್ಯೂಲ್), ಇದು ಕೆಲವು ಆಕ್ರಮಣಕಾರಿ ರುಜುವಾತುಗಳೊಂದಿಗೆ SSH ಮೂಲಕ ಸಿಸ್ಟಮ್ಗೆ ಸಂಪರ್ಕಿಸಲು ನಿಮಗೆ ಅನುಮತಿಸುತ್ತದೆ. HTTP_SETTHIS ಪರಿಸರ ವೇರಿಯೇಬಲ್ ಅನ್ನು ಹೊಂದಿಸುವ ಮೂಲಕ ರೂಟ್ ಬಳಕೆದಾರರಿಗೆ ನಿಮ್ಮ ಸವಲತ್ತುಗಳನ್ನು ಹೆಚ್ಚಿಸಲು ಗುಪ್ತ ಆಯ್ಕೆಯೂ ಇದೆ.
ಮೂಲ: opennet.ru