Intezer болон BlackBerry-ийн судлаачид эвдэрсэн Линуксийн серверүүд рүү арын хаалга болон rootkit оруулахад ашигладаг Simbiote код нэртэй хортой программыг илрүүлжээ. Латин Америкийн хэд хэдэн орны санхүүгийн байгууллагуудын системээс хортой программ хангамж илэрсэн байна. Simbiote-г систем дээр суулгахын тулд халдагчид root хандалттай байх ёстой бөгөөд жишээлбэл засварлаагүй сул талуудыг ашиглах эсвэл данс алдагдсаны үр дүнд олж авах боломжтой. Simbiote нь таныг хакердсаны дараа системд байгаа эсэхээ баталгаажуулж, цаашдын халдлага хийх, бусад хортой програмуудын үйл ажиллагааг нуух, нууц мэдээллийг саатуулах ажлыг зохион байгуулах боломжийг олгодог.
Simbiote-ийн онцлог нь LD_PRELOAD механизмыг ашиглан бүх процессыг эхлүүлэх үед ачаалагддаг, зарим дуудлагыг стандарт номын сан руу орлуулдаг дундын номын сан хэлбэрээр түгээх явдал юм. Хуурамч дуудлагын зохицуулагчид процессын жагсаалтын зарим зүйлийг оруулахгүй байх, /proc доторх зарим файлд хандах хандалтыг хаах, директор доторх файлуудыг нуух, ldd гаралтаас хортой хуваалцсан номын санг оруулахгүй байх зэрэг арын хаалгатай холбоотой үйл ажиллагааг нуудаг (execve функцийг таслан зогсоож, дуудлагыг задлан шинжилдэг). LD_TRACE_LOADED_OBJECTS орчны хувьсагчтай) нь хортой үйлдэлтэй холбоотой сүлжээний залгууруудыг харуулахгүй.
Замын хөдөлгөөний шалгалтаас хамгаалахын тулд libpcap номын сангийн функцуудыг дахин тодорхойлж, /proc/net/tcp-ийг унших шүүлтүүрийг шүүж, цөмд eBPF програмыг ачаалснаар замын хөдөлгөөний анализаторууд ажиллахаас сэргийлж, гуравдагч этгээдийн хүсэлтийг өөрсдөө хэрэгсэхгүй болгодог. сүлжээ зохицуулагчид. eBPF программыг анхны зохицуулагчдын дунд эхлүүлсэн бөгөөд сүлжээний стекийн хамгийн доод түвшинд ажилладаг бөгөөд энэ нь арын хаалганы сүлжээний үйл ажиллагааг, тэр дундаа хожим эхлүүлсэн анализаторуудаас нуух боломжийг олгодог.
Simbiote нь файлын систем дэх зарим үйл ажиллагааны анализаторыг тойрч гарах боломжийг олгодог, учир нь нууц мэдээллийг хулгайлах нь файл нээх түвшинд биш, харин эдгээр файлуудаас унших үйлдлийг хууль ёсны програмуудад (жишээлбэл, номын сангийн орлуулах) таслан зогсоох замаар хийгддэг. функцууд нь хэрэглэгчийн нууц үг эсвэл файлаас ачаалагдсан файлуудыг таслах боломжийг олгодог). Алсын нэвтрэлтийг зохион байгуулахын тулд Simbiote нь зарим PAM дуудлагыг (Pluggable Authentication Module) таслан зогсоодог бөгөөд энэ нь таныг SSH-ээр дамжуулан системд халдлага хийх тодорхой үнэмлэхээр холбогдох боломжийг олгодог. HTTP_SETTHIS орчны хувьсагчийг тохируулснаар root эрхээ нэмэгдүүлэх далд сонголт бас бий.
Эх сурвалж: opennet.ru