Penyelidik dari Intezer dan BlackBerry telah menemui perisian hasad dengan nama kod Simbiote, yang digunakan untuk menyuntik pintu belakang dan rootkit ke dalam pelayan yang dikompromi yang menjalankan Linux. Perisian hasad telah dikesan pada sistem institusi kewangan di beberapa negara Amerika Latin. Untuk memasang Simbiote pada sistem, penyerang mesti mempunyai akses root, yang boleh diperolehi, sebagai contoh, hasil daripada mengeksploitasi kelemahan yang tidak ditambal atau kebocoran akaun. Simbiote membolehkan anda menyatukan kehadiran anda dalam sistem selepas menggodam untuk melakukan serangan selanjutnya, menyembunyikan aktiviti aplikasi berniat jahat lain dan mengatur pemintasan data sulit.
Ciri khas Simbiote ialah ia diedarkan dalam bentuk perpustakaan kongsi, yang dimuatkan semasa permulaan semua proses menggunakan mekanisme LD_PRELOAD dan menggantikan beberapa panggilan ke perpustakaan standard. Pengendali panggilan palsu menyembunyikan aktiviti berkaitan pintu belakang, seperti mengecualikan item tertentu dalam senarai proses, menyekat akses kepada fail tertentu dalam /proc, menyembunyikan fail dalam direktori, tidak termasuk perpustakaan kongsi berniat jahat dalam output ldd (merampas fungsi execve dan menganalisis panggilan dengan pembolehubah persekitaran LD_TRACE_LOADED_OBJECTS) tidak menunjukkan soket rangkaian yang dikaitkan dengan aktiviti berniat jahat.
Untuk melindungi daripada pemeriksaan trafik, fungsi perpustakaan libpcap ditakrifkan semula, penapisan baca /proc/net/tcp dan program eBPF dimuatkan ke dalam kernel, yang menghalang operasi penganalisis trafik dan membuang permintaan pihak ketiga kepada pengendali rangkaiannya sendiri. Program eBPF dilancarkan antara pemproses pertama dan dilaksanakan pada tahap terendah susunan rangkaian, yang membolehkan anda menyembunyikan aktiviti rangkaian pintu belakang, termasuk daripada penganalisis yang dilancarkan kemudian.
Simbiote juga membolehkan anda memintas beberapa penganalisis aktiviti dalam sistem fail, kerana pencurian data sulit boleh dilakukan bukan pada tahap membuka fail, tetapi melalui memintas operasi membaca daripada fail ini dalam aplikasi yang sah (contohnya, penggantian perpustakaan fungsi membolehkan anda memintas pengguna memasukkan kata laluan atau memuatkan daripada data fail dengan kunci akses). Untuk mengatur log masuk jauh, Simbiote memintas beberapa panggilan PAM (Modul Pengesahan Boleh Pasang), yang membolehkan anda menyambung ke sistem melalui SSH dengan bukti kelayakan menyerang tertentu. Terdapat juga pilihan tersembunyi untuk meningkatkan keistimewaan anda kepada pengguna root dengan menetapkan pembolehubah persekitaran HTTP_SETTHIS.
Sumber: opennet.ru