„Intezer“ ir „BlackBerry“ tyrėjai aptiko kenkėjišką programinę įrangą, pavadintą Simbiote, kuri naudojama įterpti užpakalines duris ir „rootkit“ į pažeistus serverius, kuriuose veikia „Linux“. Kenkėjiškos programos buvo aptiktos kelių Lotynų Amerikos šalių finansų įstaigų sistemose. Norėdami įdiegti Simbiote sistemoje, užpuolikas turi turėti root prieigą, kurią galima gauti, pavyzdžiui, išnaudojus nepataisytas spragas arba paskyros nutekėjimus. Simbiote leidžia sustiprinti savo buvimą sistemoje po įsilaužimo, kad galėtumėte vykdyti tolesnius atakas, paslėpti kitų kenkėjiškų programų veiklą ir organizuoti konfidencialių duomenų perėmimą.
Ypatinga Simbiote savybė yra ta, kad ji platinama bendrinamos bibliotekos pavidalu, kuri įkeliama paleidžiant visus procesus naudojant LD_PRELOAD mechanizmą ir pakeičia kai kuriuos iškvietimus į standartinę biblioteką. Suklastotų skambučių tvarkyklės slepia su užpakalinėmis durimis susijusią veiklą, pvz., konkrečių elementų neįtraukimą į procesų sąrašą, prieigos prie tam tikrų failų blokavimą /proc, failų slėpimą kataloguose, kenkėjiškos bendrinamos bibliotekos išskyrimą ldd išvestyje (funkcijos execve užgrobimas ir skambučių analizavimas naudojant aplinkos kintamasis LD_TRACE_LOADED_OBJECTS) nerodo tinklo lizdų, susijusių su kenkėjiška veikla.
Siekiant apsisaugoti nuo eismo tikrinimo, iš naujo apibrėžiamos libpcap bibliotekos funkcijos, /proc/net/tcp skaitymo filtravimas ir į branduolį įkeliama eBPF programa, kuri neleidžia veikti srauto analizatoriams ir atmeta trečiųjų šalių užklausas savo tinklo tvarkytojams. eBPF programa paleidžiama tarp pirmųjų procesorių ir vykdoma žemiausiame tinklo krūvos lygyje, o tai leidžia paslėpti užpakalinių durų tinklo veiklą, taip pat ir nuo vėliau paleistų analizatorių.
Simbiote taip pat leidžia apeiti kai kuriuos veiklos analizatorius failų sistemoje, nes konfidencialių duomenų vagystė gali būti vykdoma ne failų atidarymo lygiu, o perimant nuskaitymo operacijas iš šių failų teisėtose programose (pavyzdžiui, pakeitimas). Bibliotekos funkcijos leidžia perimti vartotoją, kuris įveda slaptažodį arba įkelia duomenis iš failo su prieigos raktu). Norėdami organizuoti nuotolinį prisijungimą, Simbiote perima kai kuriuos PAM skambučius (Pluggable Authentication Module), kuris leidžia prisijungti prie sistemos per SSH naudojant tam tikrus atakos kredencialus. Taip pat yra paslėpta parinktis, leidžianti padidinti pagrindinio vartotojo teises, nustatant HTTP_SETTHIS aplinkos kintamąjį.
Šaltinis: opennet.ru