Onderzoekers van Intezer en BlackBerry hebben malware met de codenaam Simbiote ontdekt, die wordt gebruikt om backdoors en rootkits te injecteren in gecompromitteerde servers waarop Linux draait. Malware werd gedetecteerd op de systemen van financiële instellingen in verschillende Latijns-Amerikaanse landen. Om Simbiote op een systeem te installeren, moet een aanvaller root-toegang hebben, die bijvoorbeeld kan worden verkregen als gevolg van het misbruiken van niet-gepatchte kwetsbaarheden of accountlekken. Met Simbiote kunt u uw aanwezigheid in het systeem consolideren na een hack, zodat u verdere aanvallen kunt uitvoeren, de activiteit van andere kwaadaardige applicaties kunt verbergen en de onderschepping van vertrouwelijke gegevens kunt organiseren.
Een speciaal kenmerk van Simbiote is dat het wordt gedistribueerd in de vorm van een gedeelde bibliotheek, die wordt geladen tijdens het opstarten van alle processen met behulp van het LD_PRELOAD-mechanisme en enkele oproepen naar de standaardbibliotheek vervangt. Spoofed call handlers verbergen backdoor-gerelateerde activiteiten, zoals het uitsluiten van specifieke items in de proceslijst, het blokkeren van de toegang tot bepaalde bestanden in /proc, het verbergen van bestanden in mappen, het uitsluiten van kwaadaardige gedeelde bibliotheek in ldd-uitvoer (het kapen van de execve-functie en het analyseren van oproepen met een omgevingsvariabele LD_TRACE_LOADED_OBJECTS) tonen geen netwerksockets die verband houden met kwaadaardige activiteiten.
Om te beschermen tegen verkeersinspectie zijn de functies van de libpcap-bibliotheek opnieuw gedefinieerd, wordt /proc/net/tcp gelezen en wordt er een eBPF-programma in de kernel geladen, dat de werking van verkeersanalysatoren verhindert en verzoeken van derden naar zijn eigen netwerkhandlers negeert. Het eBPF-programma wordt gelanceerd tussen de eerste processors en wordt uitgevoerd op het laagste niveau van de netwerkstack, waardoor u de netwerkactiviteit van de achterdeur kunt verbergen, ook voor later gelanceerde analysers.
Met Simbiote kunt u ook bepaalde activiteitsanalysatoren in het bestandssysteem omzeilen, aangezien de diefstal van vertrouwelijke gegevens niet kan worden uitgevoerd op het niveau van het openen van bestanden, maar door het onderscheppen van leesbewerkingen van deze bestanden in legitieme toepassingen (bijvoorbeeld het vervangen van bibliotheekbestanden). Met deze functies kunt u de gebruiker onderscheppen bij het invoeren van een wachtwoord of het laden van gegevens uit een bestand met een toegangssleutel). Om het inloggen op afstand te organiseren, onderschept Simbiote enkele PAM-oproepen (Pluggable Authentication Module), waardoor u via SSH verbinding kunt maken met het systeem met bepaalde aanvalsreferenties. Er is ook een verborgen optie om uw rechten voor de rootgebruiker te vergroten door de omgevingsvariabele HTTP_SETTHIS in te stellen.
Bron: opennet.ru