ProHoster > ะ‘ะปะพะณ > เบ‚เปˆเบฒเบงโ€‹เบญเบดเบ™โ€‹เป€เบ•เบตโ€‹เป€เบ™เบฑเบ”โ€‹ > Simbiote เป€เบ›เบฑเบ™ malware Linux เบ—เบตเปˆเปƒเบŠเป‰ eBPF เปเบฅเบฐ LD_PRELOAD เป€เบžเบทเปˆเบญเป€เบŠเบทเปˆเบญเบ‡

Simbiote เป€เบ›เบฑเบ™ malware Linux เบ—เบตเปˆเปƒเบŠเป‰ eBPF เปเบฅเบฐ LD_PRELOAD เป€เบžเบทเปˆเบญเป€เบŠเบทเปˆเบญเบ‡

เบ™เบฑเบเบ„เบปเป‰เบ™เบ„เบงเป‰เบฒเบˆเบฒเบ Intezer เปเบฅเบฐ BlackBerry เป„เบ”เป‰เบ„เบปเป‰เบ™เบžเบปเบš malware codenamed Simbiote, เป€เบŠเบดเปˆเบ‡เบ–เบทเบเบ™เปเบฒเปƒเบŠเป‰เป€เบžเบทเปˆเบญ inject backdoors เปเบฅเบฐ rootkits เป€เบ‚เบปเป‰เบฒเป„เบ›เปƒเบ™เป€เบ„เบทเปˆเบญเบ‡เปเบกเปˆเบ‚เปˆเบฒเบเบ—เบตเปˆเบ–เบทเบเบ—เปเบฒเบฅเบฒเบเบ—เบตเปˆเปเบฅเปˆเบ™ Linux. Malware เป„เบ”เป‰เบ–เบทเบเบเบงเบ”เบžเบปเบšเบขเบนเปˆเปƒเบ™เบฅเบฐเบšเบปเบšเบ‚เบญเบ‡เบชเบฐเบ–เบฒเบšเบฑเบ™เบเบฒเบ™เป€เบ‡เบดเบ™เปƒเบ™เบซเบผเบฒเบเบ›เบฐเป€เบ—เบ”เปƒเบ™เบญเบฒเป€เบกเบฅเบดเบเบฒเบฅเบฒเบ•เบดเบ™. เป€เบžเบทเปˆเบญเบ•เบดเบ”เบ•เบฑเป‰เบ‡ Simbiote เปƒเบ™เบฅเบฐเบšเบปเบš, เบœเบนเป‰เป‚เบˆเบกเบ•เบตเบ•เป‰เบญเบ‡เบกเบตเบเบฒเบ™เป€เบ‚เบปเป‰เบฒเป€เบ–เบดเบ‡เบฎเบฒเบ, เป€เบŠเบดเปˆเบ‡เบชเบฒเบกเบฒเบ”เป„เบ”เป‰เบฎเบฑเบš, เบ•เบปเบงเบขเปˆเบฒเบ‡, เป€เบ›เบฑเบ™เบœเบปเบ™เบกเบฒเบˆเบฒเบเบเบฒเบ™เบ‚เบธเบ”เบ„เบปเป‰เบ™เบŠเปˆเบญเบ‡เบซเบงเปˆเบฒเบ‡เบ—เบตเปˆเบšเปเปˆเป„เบ”เป‰เบฎเบฑเบšเบเบฒเบ™เบ›เบฑเบšเบ›เบธเบ‡เบซเบผเบทเบเบฒเบ™เบฎเบปเปˆเบงเป„เบซเบฅเบ‚เบญเบ‡เบšเบฑเบ™เบŠเบต. Simbiote เบŠเปˆเบงเบเปƒเบซเป‰เบ—เปˆเบฒเบ™เบชเบฒเบกเบฒเบ”เบฅเบงเบšเบฅเบงเบกเบเบฒเบ™เบ›เบฐเบเบปเบ”เบ•เบปเบงเบ‚เบญเบ‡เบ—เปˆเบฒเบ™เปƒเบ™เบฅเบฐเบšเบปเบšเบซเบผเบฑเบ‡เบˆเบฒเบเบเบฒเบ™ hack เป€เบžเบทเปˆเบญเบ›เบฐเบ•เบดเบšเบฑเบ”เบเบฒเบ™เป‚เบˆเบกเบ•เบตเบ•เบทเปˆเบกเบญเบตเบ, เป€เบŠเบทเปˆเบญเบ‡เบเบดเบ”เบˆเบฐเบเปเบฒเบ‚เบญเบ‡เปเบญเบฑเบšเบžเบฅเบดเป€เบ„เบŠเบฑเบ™เบ—เบตเปˆเป€เบ›เบฑเบ™เบญเบฑเบ™เบ•เบฐเบฅเบฒเบเบญเบทเปˆเบ™เป†เปเบฅเบฐเบˆเบฑเบ”เบ•เบฑเป‰เบ‡เบเบฒเบ™เบ‚เบฑเบ”เบ‚เบงเบฒเบ‡เบ‚เปเป‰เบกเบนเบ™เบฅเบฑเบš.

เบฅเบฑเบเบชเบฐเบ™เบฐเบžเบดเป€เบชเบ”เบ‚เบญเบ‡ Simbiote เปเบกเปˆเบ™เบงเปˆเบฒเบกเบฑเบ™เบ–เบทเบเปเบˆเบเบขเบฒเบเปƒเบ™เบฎเบนเบšเปเบšเบšเบ‚เบญเบ‡เบซเป‰เบญเบ‡เบชเบฐเบซเบกเบธเบ”เบ—เบตเปˆเปƒเบŠเป‰เบฎเปˆเบงเบกเบเบฑเบ™, เป€เบŠเบดเปˆเบ‡เบ–เบทเบเป‚เบซเบฅเบ”เปƒเบ™เบฅเบฐเบซเบงเปˆเบฒเบ‡เบเบฒเบ™เป€เบฅเบตเปˆเบกเบ•เบปเป‰เบ™เบ‚เบญเบ‡เบ‚เบฐเบšเบงเบ™เบเบฒเบ™เบ—เบฑเบ‡เบซเบกเบปเบ”เป‚เบ”เบเปƒเบŠเป‰เบเบปเบ™เป„เบ LD_PRELOAD เปเบฅเบฐเบ›เปˆเบฝเบ™เบšเบฒเบ‡เบเบฒเบ™เป‚เบ—เป„เบ›เบซเบฒเบซเป‰เบญเบ‡เบชเบฐเบซเบกเบธเบ”เบกเบฒเบ”เบ•เบฐเบ–เบฒเบ™. เบ•เบปเบงเบˆเบฑเบ”เบเบฒเบ™เบเบฒเบ™เป‚เบ—เปเบšเบšเบซเบผเบญเบเบฅเบงเบ‡เป€เบŠเบทเปˆเบญเบ‡เบเบดเบ”เบˆเบฐเบเปเบฒเบ—เบตเปˆเบเปˆเบฝเบงเบ‚เป‰เบญเบ‡เบเบฑเบš backdoor, เป€เบŠเบฑเปˆเบ™: เบเบฒเบ™เบเบปเบเป€เบงเบฑเป‰เบ™เบฅเบฒเบเบเบฒเบ™เบชเบฐเป€เบžเบฒเบฐเปƒเบ™เบฅเบฒเบเบเบฒเบ™เบ‚เบฐเบšเบงเบ™เบเบฒเบ™, เบเบฒเบ™เบ‚เบฑเบ”เบ‚เบงเบฒเบ‡เบเบฒเบ™เป€เบ‚เบปเป‰เบฒเป€เบ–เบดเบ‡เป„เบŸเบฅเปŒเบšเบฒเบ‡เบขเปˆเบฒเบ‡เปƒเบ™ / proc, เป€เบŠเบทเปˆเบญเบ‡เป„เบŸเบฅเปŒเปƒเบ™เป„เบ”เป€เบฅเบเบฐเบ—เปเบฅเบต, เบšเปเปˆเบฅเบงเบกเป€เบญเบปเบฒเบซเป‰เบญเบ‡เบชเบฐเบซเบกเบธเบ”เบ—เบตเปˆเปƒเบŠเป‰เบฎเปˆเบงเบกเบเบฑเบ™เบ—เบตเปˆเป€เบ›เบฑเบ™เบญเบฑเบ™เบ•เบฐเบฅเบฒเบเปƒเบ™ ldd output ( hijacking เบŸเบฑเบ‡เบŠเบฑเบ™ execve เปเบฅเบฐเบเบฒเบ™เบงเบดเป€เบ„เบฒเบฐเบเบฒเบ™เป‚เบ—เบ”เป‰เบงเบ an เบ•เบปเบงเปเบ›เบชเบฐเบžเบฒเบšเปเบงเบ”เบฅเป‰เบญเบก LD_TRACE_LOADED_OBJECTS) เบšเปเปˆเบชเบฐเปเบ”เบ‡เบŠเบฑเบญเบเป€เบเบฑเบ”เป€เบ„เบทเบญเบ‚เปˆเบฒเบเบ—เบตเปˆเบเปˆเบฝเบงเบ‚เป‰เบญเบ‡เบเบฑเบšเบเบฒเบ™เป€เบ„เบทเปˆเบญเบ™เป„เบซเบงเบ—เบตเปˆเป€เบ›เบฑเบ™เบญเบฑเบ™เบ•เบฐเบฅเบฒเบ.

เป€เบžเบทเปˆเบญเบ›เป‰เบญเบ‡เบเบฑเบ™เบเบฒเบ™เบเบงเบ”เบเบฒเบเบฒเบ™เบˆเบฒเบฅเบฐเบˆเบญเบ™, เบซเบ™เป‰เบฒเบ—เบตเปˆเบซเป‰เบญเบ‡เบชเบฐเบซเบกเบธเบ” libpcap เบ–เบทเบเบเปเบฒเบ™เบปเบ”เบ„เบทเบ™เปƒเบซเบกเปˆ, /proc/net/tcp read filtering เปเบฅเบฐเป‚เบ„เบ‡เบเบฒเบ™ eBPF เบˆเบฐเบ–เบทเบเป‚เบซเบฅเบ”เป€เบ‚เบปเป‰เบฒเป„เบ›เปƒเบ™ kernel, เป€เบŠเบดเปˆเบ‡เบ›เป‰เบญเบ‡เบเบฑเบ™เบเบฒเบ™เป€เบฎเบฑเบ”เบงเบฝเบเบ‚เบญเบ‡เป€เบ„เบทเปˆเบญเบ‡เบงเบดเป€เบ„เบฒเบฐเบเบฒเบ™เบˆเบฐเบฅเบฒเบˆเบญเบ™เปเบฅเบฐเบเบปเบเป€เบฅเบตเบเบเบฒเบ™เบฎเป‰เบญเบ‡เบ‚เปเบ‚เบญเบ‡เบžเบฒเบเบชเปˆเบงเบ™เบ—เบตเบชเบฒเบกเปƒเบซเป‰เบเบฑเบšเบ•เบปเบงเบˆเบฑเบ”เบเบฒเบ™เป€เบ„เบทเบญเบ‚เปˆเบฒเบเบ‚เบญเบ‡เบ•เบปเบ™เป€เบญเบ‡. เป‚เบ„เบ‡เบเบฒเบ™ eBPF เบ–เบทเบเป€เบ›เบตเบ”เบ•เบปเบงเปƒเบ™เบšเบฑเบ™เบ”เบฒเป‚เบ›เป€เบŠเบ”เป€เบŠเบตเบ—เปเบฒเบญเบดเบ”เปเบฅเบฐเบ–เบทเบเบ›เบฐเบ•เบดเบšเบฑเบ”เบขเบนเปˆเปƒเบ™เบฅเบฐเบ”เบฑเบšเบ•เปเปˆเบฒเบชเบธเบ”เบ‚เบญเบ‡ stack เป€เบ„เบทเบญเบ‚เปˆเบฒเบ, เป€เบŠเบดเปˆเบ‡เบŠเปˆเบงเบเปƒเบซเป‰เบ—เปˆเบฒเบ™เบชเบฒเบกเบฒเบ”เป€เบŠเบทเปˆเบญเบ‡เบเบดเบ”เบˆเบฐเบเปเบฒเป€เบ„เบทเบญเบ‚เปˆเบฒเบเบ‚เบญเบ‡ backdoor, เบฅเบงเบกเบ—เบฑเบ‡เบˆเบฒเบเบเบฒเบ™เบงเบดเป€เบ„เบฒเบฐเบ—เบตเปˆเป€เบ›เบตเบ”เบ•เบปเบงเปƒเบ™เบžเบฒเบเบซเบฅเบฑเบ‡.

Simbiote เบเบฑเบ‡เบญเบฐเบ™เบธเบเบฒเบ”เปƒเบซเป‰เบ—เปˆเบฒเบ™เบ‚เป‰เบฒเบกเบ•เบปเบงเบงเบดเป€เบ„เบฒเบฐเบเบดเบ”เบˆเบฐเบเปเบฒเบšเบฒเบ‡เบขเปˆเบฒเบ‡เปƒเบ™เบฅเบฐเบšเบปเบšเป„เบŸเบฅเปŒ, เบ™เบฑเบšเบ•เบฑเป‰เบ‡เปเบ•เปˆเบเบฒเบ™เบฅเบฑเบเบ‚เปเป‰เบกเบนเบ™เบ„เบงเบฒเบกเบฅเบฑเบšเบชเบฒเบกเบฒเบ”เบ”เปเบฒเป€เบ™เบตเบ™เบเบฒเบ™เบšเปเปˆเป„เบ”เป‰เปƒเบ™เบฅเบฐเบ”เบฑเบšเบเบฒเบ™เป€เบ›เบตเบ”เป„เบŸเบฅเปŒ, เปเบ•เปˆเป‚เบ”เบเบœเปˆเบฒเบ™เบเบฒเบ™เบ‚เบฑเบ”เบ‚เบงเบฒเบ‡เบเบฒเบ™เบญเปˆเบฒเบ™เบˆเบฒเบเป„เบŸเบฅเปŒเป€เบซเบผเบปเปˆเบฒเบ™เบตเป‰เปƒเบ™เบ„เปเบฒเบฎเป‰เบญเบ‡เบชเบฐเบซเบกเบฑเบเบ—เบตเปˆเบ–เบทเบเบ•เป‰เบญเบ‡ (เบ•เบปเบงเบขเปˆเบฒเบ‡, เบเบฒเบ™เบ—เบปเบ”เปเบ—เบ™เบซเป‰เบญเบ‡เบชเบฐเบซเบกเบธเบ”. เบซเบ™เป‰เบฒเบ—เบตเปˆเบญเบฐเบ™เบธเบเบฒเบ”เปƒเบซเป‰เบ—เปˆเบฒเบ™เบชเบฒเบกเบฒเบ”เบ‚เบฑเบ”เบ‚เบงเบฒเบ‡เบœเบนเป‰เปƒเบŠเป‰เบ—เบตเปˆเบ›เป‰เบญเบ™เบฅเบฐเบซเบฑเบ”เบœเปˆเบฒเบ™เบซเบผเบทเบเบฒเบ™เป‚เบซเบผเบ”เบ‚เปเป‰เบกเบนเบ™เบˆเบฒเบเป„เบŸเบฅเปŒเบ—เบตเปˆเบกเบตเบฅเบฐเบซเบฑเบ”เป€เบ‚เบปเป‰เบฒเป€เบ–เบดเบ‡). เป€เบžเบทเปˆเบญเบˆเบฑเบ”เบ•เบฑเป‰เบ‡เบเบฒเบ™เป€เบ‚เบปเป‰เบฒเบชเบนเปˆเบฅเบฐเบšเบปเบšเบซเปˆเบฒเบ‡เป„เบเบชเบญเบเบซเบผเบตเบ, Simbiote เบ‚เบฑเบ”เบ‚เบงเบฒเบ‡เบšเบฒเบ‡เบเบฒเบ™เป‚เบ— PAM (Pluggable Authentication Module), เป€เบŠเบดเปˆเบ‡เบŠเปˆเบงเบเปƒเบซเป‰เบ—เปˆเบฒเบ™เบชเบฒเบกเบฒเบ”เป€เบŠเบทเปˆเบญเบกเบ•เปเปˆเบเบฑเบšเบฅเบฐเบšเบปเบšเบœเปˆเบฒเบ™ SSH เบ”เป‰เบงเบเบ‚เปเป‰เบกเบนเบ™เบขเบทเบ™เบขเบฑเบ™เบเบฒเบ™เป‚เบˆเบกเบ•เบตเบ—เบตเปˆเปเบ™เปˆเบ™เบญเบ™. เบ™เบญเบเบ™เบฑเป‰เบ™เบเบฑเบ‡เบกเบตเบ—เบฒเบ‡เป€เบฅเบทเบญเบเบ—เบตเปˆเป€เบŠเบทเปˆเบญเบ‡เป„เบงเป‰เป€เบžเบทเปˆเบญเป€เบžเบตเปˆเบกเบชเบดเบ”เบ—เบดเบ‚เบญเบ‡เบ—เปˆเบฒเบ™เปƒเบซเป‰เบเบฑเบšเบœเบนเป‰เปƒเบŠเป‰เบฎเบฒเบเป‚เบ”เบเบเบฒเบ™เบ•เบฑเป‰เบ‡เบ„เปˆเบฒเบ•เบปเบงเปเบ›เบชเบฐเบžเบฒเบšเปเบงเบ”เบฅเป‰เบญเบก HTTP_SETTHIS.

Simbiote - Linux malware เบ—เบตเปˆเปƒเบŠเป‰ eBPF เปเบฅเบฐ LD_PRELOAD เป€เบžเบทเปˆเบญเป€เบŠเบทเปˆเบญเบ‡


เปเบซเบผเปˆเบ‡เบ‚เปเป‰เบกเบนเบ™: opennet.ru

เป€เบžเบตเปˆเบกเบ„เบงเบฒเบกเบ„เบดเบ”เป€เบซเบฑเบ™