Fuerscher vun Intezer a BlackBerry hunn Malware Codename Simbiote entdeckt, déi benotzt gëtt fir Backdoors a Rootkits an kompromittéiert Serveren ze sprëtzen déi Linux lafen. Malware gouf op de Systemer vu Finanzinstituter a verschiddene Latäinamerikanesche Länner entdeckt. Fir Simbiote op engem System z'installéieren, muss en Ugräifer root-Zougang hunn, deen zum Beispill kritt ka ginn als Resultat vun der Ausbeutung vun onpatchéierte Schwachstelle oder Kontleaks. Simbiote erlaabt Iech Är Präsenz am System nom Hacking ze konsolidéieren fir weider Attacken auszeféieren, d'Aktivitéit vun anere béiswëlleg Applikatiounen ze verstoppen an d'Offange vu vertraulechen Donnéeën z'organiséieren.
Eng speziell Feature vu Simbiote ass datt et a Form vun enger gemeinsamer Bibliothéik verdeelt gëtt, déi während dem Startup vun all Prozesser mat dem LD_PRELOAD Mechanismus gelueden gëtt an e puer Uriff an d'Standardbibliothéik ersetzt. Spoofed Call Handler verstoppen Backdoor-relatéiert Aktivitéit, sou wéi spezifesch Elementer an der Prozesslëscht ausgeschloss, Zougang zu bestëmmte Dateien an / proc blockéieren, Dateien an Verzeechnes verstoppen, béiswëlleg gedeelt Bibliothéik an ldd Output ausgeschloss (d'Execve Funktioun kapéieren an Uruff analyséieren mat engem Ëmfeld Variabel LD_TRACE_LOADED_OBJECTS) weisen net Netzwierk Sockets verbonne mat béiswëlleg Aktivitéit.
Fir géint Trafficinspektioun ze schützen, ginn d'libpcap-Bibliothéikfunktiounen nei definéiert, /proc/net/tcp liesen Filteren an en eBPF-Programm gëtt an de Kernel gelueden, wat d'Operatioun vu Verkéiersanalysatoren verhënnert an Drëtt-Partei-Ufroen op seng eegen Netzhandterer verhënnert. Den eBPF Programm gëtt ënnert den éischte Prozessoren lancéiert a gëtt um niddregsten Niveau vum Netzwierkstack ausgefouert, wat Iech erlaabt d'Netzwierkaktivitéit vun der Backdoor ze verstoppen, och vun Analysatoren, déi spéider gestart ginn.
Simbiote erlaabt Iech och e puer Aktivitéitsanalysatoren am Dateiesystem z'entgoen, well den Déifstall vu vertraulechen Donnéeën net um Niveau vun der Ouverture vun Dateien duerchgefouert ka ginn, awer duerch d'Interceptioun vu Liesoperatioune vun dësen Dateien a legitimen Uwendungen (zum Beispill Substitutioun) vu Bibliothéiksfunktiounen erlaabt Iech de Benotzer z'ënnerfangen, deen e Passwuert agitt oder aus engem Dateidaten mat Zougangsschlëssel lued). Fir d'Remote Login z'organiséieren, hëlt Simbiote e puer PAM-Uriff (Pluggable Authentication Module), wat Iech erlaabt Iech mam System iwwer SSH mat bestëmmte attackéierend Umeldungsinformatiounen ze verbannen. Et gëtt och eng verstoppte Optioun fir Är Privilegien fir de Root Benotzer ze erhéijen andeems Dir d'HTTP_SETTHIS Ëmfeldvariabel setzt.
Source: opennet.ru