Lekolînwanên Intezer û BlackBerry malware bi navê kod Simbiote keşf kirin, ku tê bikar anîn da ku derzên paşderî û rootkit li serverên lihevhatî yên ku Linux-ê dixebitînin tê bikar anîn. Malware li ser pergalên saziyên darayî yên li gelek welatên Amerîkaya Latîn hate dîtin. Ji bo sazkirina Simbiote li ser pergalek, êrîşkerek pêdivî ye ku xwedan gihandina root be, ku dikare were bidestxistin, mînakî, wekî encama îstismarkirina qelsiyên nepatched an rijandinên hesabê. Simbiote dihêle hûn piştî hackkirinê hebûna xwe ya di pergalê de yek bikin da ku êrişên din pêk bînin, çalakiya sepanên din ên xirab veşêrin û destwerdana daneyên nepenî organîze bikin.
Taybetmendiyek taybetî ya Simbiote ev e ku ew di forma pirtûkxaneyek hevpar de tê belav kirin, ku di dema destpêkirina hemî pêvajoyan de bi karanîna mekanîzmaya LD_PRELOAD tê barkirin û hin bang li pirtûkxaneya standard vedigire. Rêvebirên bangê yên xapînok çalakiya têkildarî paşverû vedişêrin, wek mînak derxistina tiştên taybetî yên di navnîşa pêvajoyê de, astengkirina gihîştina hin pelan li /proc, veşartina pelan di pelrêçan de, dûrxistina pirtûkxaneya hevpar a xerab di derana ldd de (revandina fonksiyona execve û analîzkirina bangan bi guherbara jîngehê LD_TRACE_LOADED_OBJECTS) soketên torê yên ku bi çalakiya xirab ve girêdayî ne nîşan nadin.
Ji bo parastina li dijî vekolîna trafîkê, fonksiyonên pirtûkxaneya libpcap ji nû ve têne destnîşankirin, /proc/net/tcp fîlterkirina xwendinê û bernameyek eBPF di nav kernelê de tê barkirin, ku pêşî li xebata analîzkerên trafîkê digire û daxwazên sêyemîn ji rêvebirên torê re vedike. Bernameya eBPF di nav pêvajoyên yekem de tê destpêkirin û di asta herî nizm a stûna torê de tê darve kirin, ku dihêle hûn çalakiya torê ya paşverû veşêrin, di nav de ji analîzkerên ku paşê hatine destpêkirin.
Simbiote di heman demê de dihêle hûn hin analîzkerên çalakiyê di pergala pelan de derbas bikin, ji ber ku diziya daneyên nepenî ne di asta vekirina pelan de, lê bi navgîniya destwerdana karûbarên xwendinê ji van pelan di serîlêdanên rewa de dikare were kirin (mînak, veguheztin fonksiyonên pirtûkxaneyê destûrê dide te ku hûn bikarhênerek ku şîfreyek têxe an ji daneya pelê bi bişkojka gihîştinê bar dike asteng bikin). Ji bo organîzekirina têketinê ji dûr ve, Simbiote hin bangên PAM-ê (Modula Nasnameya Pluggable) digire, ku destûrê dide te ku hûn bi hin pêbaweriyên êrişkar ve bi navgîniya SSH-ê ve bi pergalê ve girêbidin. Di heman demê de vebijarkek veşartî jî heye ku bi danîna guhêrbara jîngehê HTTP_SETTHIS îmtiyazên xwe ji bikarhênerê root re zêde bike.
Source: opennet.ru