Intezer un BlackBerry pētnieki ir atklājuši ļaunprātīgu programmatūru ar koda nosaukumu Simbiote, kas tiek izmantota, lai ievadītu aizmugures durvis un sakņu komplektus uz kompromitētiem Linux serveriem. Ļaunprātīga programmatūra tika atrasta finanšu iestāžu sistēmās vairākās Latīņamerikas valstīs. Lai instalētu Simbiote sistēmā, uzbrucējam ir jābūt root piekļuvei, ko var iegūt, piemēram, neizmantojot nelabotus ievainojamības vai nopludinot kontus. Simbiote ļauj nodrošināt savu klātbūtni sistēmā pēc uzlaušanas, lai veiktu turpmākus uzbrukumus, slēptu citu ļaunprātīgu lietojumprogrammu darbību un organizētu konfidenciālu datu pārtveršanu.
Simbiote iezīme ir izplatīšana koplietotas bibliotēkas veidā, kas tiek ielādēta visu procesu palaišanas laikā, izmantojot LD_PRELOAD mehānismu, un aizstāj dažus standarta bibliotēkas izsaukumus. Viltotu zvanu apstrādātāji slēpj ar aizmugures durvīm saistītas darbības, piemēram, noteiktu vienumu izslēgšana procesu sarakstā, piekļuves bloķēšana noteiktiem failiem mapē /proc, failu slēpšana direktorijos, ļaunprātīgas koplietotās bibliotēkas izslēgšana no ldd izvades (funkcija execve tiek pārtverta un zvani tiek parsēti ar vides mainīgo LD_TRACE_LOADED_OBJECTS) nerāda tīkla ligzdas, kas saistītas ar ļaunprātīgu darbību.
Lai aizsargātu pret satiksmes pārbaudi, libpcap bibliotēkas funkcijas tiek definētas no jauna, /proc/net/tcp tiek lasīts filtrēts, un kodolā tiek ielādēta eBPF programma, kas neļauj satiksmes analizatoriem darboties un atmet trešo pušu pieprasījumus saviem tīkla apstrādātāji. Programma eBPF tiek palaista starp pirmajiem apstrādātājiem un darbojas tīkla steka zemākajā līmenī, kas ļauj slēpt aizmugures durvju tīkla darbību, tostarp no vēlāk palaistiem analizatoriem.
Simbiote ļauj arī apiet dažus aktivitāšu analizatorus failu sistēmā, jo konfidenciālu datu zādzību var veikt nevis failu atvēršanas līmenī, bet gan pārtverot lasīšanas darbības no šiem failiem likumīgās lietojumprogrammās (piemēram, bibliotēkas aizstāšana). funkcijas ļauj pārtvert lietotāja ievadīto paroli vai failus, kas ielādēti no faila). piekļūt atslēgas datiem). Lai organizētu attālo pieteikšanos, Simbiote pārtver dažus PAM zvanus (Pluggable Authentication Module), kas ļauj izveidot savienojumu ar sistēmu, izmantojot SSH, izmantojot noteiktus uzbrukuma akreditācijas datus. Ir arī slēpta iespēja paaugstināt savas privilēģijas uz root, iestatot HTTP_SETTHIS vides mainīgo.
Avots: opennet.ru