Intezer နှင့် BlackBerry တို့မှ သုတေသီများသည် Linux လည်ပတ်နေသော အပေးအယူခံရသော ဆာဗာများအတွင်းသို့ backdoors နှင့် rootkits များကို ထည့်သွင်းရန်အတွက် အသုံးပြုသည့် Simbiote ဟု အမည်ပေးထားသော malware ကို ရှာဖွေတွေ့ရှိခဲ့သည်။ လက်တင်အမေရိကနိုင်ငံအများအပြားရှိ ဘဏ္ဍာရေးအဖွဲ့အစည်းများ၏ စနစ်များတွင် Malware ကို တွေ့ရှိခဲ့သည်။ စနစ်တစ်ခုတွင် Simbiote ကိုထည့်သွင်းရန်၊ တိုက်ခိုက်သူသည် ဖာထေးမှုမပြုလုပ်ထားသော အားနည်းချက်များ သို့မဟုတ် အကောင့်ပေါက်ကြားမှုများကြောင့် ရရှိနိုင်သည့် root access ရှိရပါမည်။ Simbiote သည် နောက်ထပ်တိုက်ခိုက်မှုများကို လုပ်ဆောင်ရန်၊ အခြား အန္တရာယ်ရှိသော အပလီကေးရှင်းများ၏ လုပ်ဆောင်ချက်ကို ဖုံးကွယ်ရန်နှင့် လျှို့ဝှက်အချက်အလက်များ၏ ကြားဖြတ်ဖမ်းယူမှုကို စုစည်းပြီးနောက် ဟက်ကာပြီးနောက် စနစ်တွင် သင့်အား စုစည်းနိုင်စေပါသည်။
Simbiote ၏ အထူးအင်္ဂါရပ်မှာ ၎င်းကို LD_PRELOAD ယန္တရားအား အသုံးပြု၍ လုပ်ငန်းစဉ်အားလုံးစတင်စဉ်အတွင်း မျှဝေပြီး စံစာကြည့်တိုက်သို့ ခေါ်ဆိုမှုအချို့ကို အစားထိုးပေးသည့် မျှဝေစာကြည့်တိုက်ပုံစံဖြင့် ဖြန့်ဝေခြင်းဖြစ်သည်။ အယောင်ဆောင်ထားသော ခေါ်ဆိုမှု ကိုင်တွယ်သူများသည် လုပ်ငန်းစဉ်စာရင်းရှိ သီးခြားအရာများ မပါဝင်ခြင်း၊ /proc ရှိ ဖိုင်အချို့သို့ ဝင်ရောက်ခွင့်ကို ပိတ်ဆို့ခြင်း၊ လမ်းညွှန်များတွင် ဖိုင်များကို ဝှက်ထားခြင်း၊ ldd အထွက်ရှိ အန္တရာယ်ရှိသော မျှဝေထားသည့် ဒစ်ဂျစ်တိုက်မှ လွဲ၍ ကျန် (execve လုပ်ဆောင်ချက်ကို အပိုင်စီးပြီး ခေါ်ဆိုမှုများကို ခွဲခြမ်းစိတ်ဖြာခြင်းကဲ့သို့သော ကျောရိုးနှင့်ပတ်သက်သည့် လုပ်ဆောင်ချက်ကို ဖုံးကွယ်ထားသည်။ ပတ်ဝန်းကျင် ပြောင်းလဲနိုင်သော LD_TRACE_LOADED_OBJECTS) သည် အန္တရာယ်ရှိသော လုပ်ဆောင်ချက်နှင့် ဆက်စပ်နေသော ကွန်ရက်ခြေစွပ်များကို မပြပါ။
အသွားအလာစစ်ဆေးခြင်းမှကာကွယ်ရန်၊ libpcap စာကြည့်တိုက်လုပ်ဆောင်ချက်များကို ပြန်လည်သတ်မှတ်ထားပြီး /proc/net/tcp read filtering နှင့် eBPF ပရိုဂရမ်ကို လမ်းကြောင်းခွဲခြမ်းစိတ်ဖြာသူများ၏လုပ်ဆောင်မှုကို ဟန့်တားကာ ၎င်း၏ကိုယ်ပိုင်ကွန်ရက်ကိုင်တွယ်သူများအတွက် ပြင်ပမှတောင်းဆိုမှုများကို ဖယ်ပစ်သည်။ eBPF ပရိုဂရမ်ကို ပထမပရိုဆက်ဆာများကြားတွင် စတင်လုပ်ဆောင်ပြီး နောက်ပိုင်းတွင်ထွက်ရှိထားသော ခွဲခြမ်းစိတ်ဖြာသူများထံမှ အပါအဝင် backdoor ၏ကွန်ရက်လုပ်ဆောင်ချက်ကို ဖုံးကွယ်ထားနိုင်စေသည့် network stack ၏ အနိမ့်ဆုံးအဆင့်တွင် လုပ်ဆောင်ပါသည်။
Simbiote သည် သင့်အား ဖိုင်စနစ်ရှိ လုပ်ဆောင်ချက်ခွဲခြမ်းစိတ်ဖြာသူအချို့ကို ကျော်လွှားနိုင်စေသည်၊ အဘယ်ကြောင့်ဆိုသော် လျှို့ဝှက်ဒေတာခိုးယူမှုသည် ဖိုင်များဖွင့်သည့်အဆင့်တွင်မဟုတ်ဘဲ၊ တရားဝင်အပလီကေးရှင်းများတွင် ဤဖိုင်များမှဖတ်ရှုခြင်းလုပ်ဆောင်ချက်များကို ကြားဖြတ်ကြားဖြတ်ရယူခြင်းကြောင့် (ဥပမာ၊ စာကြည့်တိုက်အစားထိုးခြင်း)၊ လုပ်ဆောင်ချက်များသည် အသုံးပြုသူအား စကားဝှက်တစ်ခုထည့်သွင်းခြင်း သို့မဟုတ် ဝင်ရောက်ခွင့်သော့ပါသော ဖိုင်ဒေတာမှ တင်ခြင်းအား ကြားဖြတ်နိုင်စေပါသည်။) အဝေးမှ လော့ဂ်အင်ကို စုစည်းရန်၊ Simbiote သည် အချို့သော တိုက်ခိုက်ရေးဆိုင်ရာ အထောက်အထားများဖြင့် SSH မှတစ်ဆင့် စနစ်သို့ ချိတ်ဆက်နိုင်စေသည့် PAM ခေါ်ဆိုမှုများ (Pluggable Authentication Module) ကို ကြားဖြတ်ပါသည်။ HTTP_SETTHIS ပတ်၀န်းကျင် variable ကို သတ်မှတ်ခြင်းဖြင့် root သုံးစွဲသူအတွက် သင်၏အခွင့်အရေးများကို တိုးမြှင့်ရန် လျှို့ဝှက်ရွေးချယ်စရာတစ်ခုလည်း ရှိပါသည်။
source: opennet.ru