Forskere fra Intezer og BlackBerry har oppdaget skadelig programvare med kodenavnet Simbiote, som brukes til å injisere bakdører og rootkits i kompromitterte servere som kjører Linux. Skadevare ble oppdaget på systemene til finansinstitusjoner i flere latinamerikanske land. For å installere Simbiote på et system, må en angriper ha root-tilgang, som for eksempel kan oppnås som følge av å utnytte uopprettede sårbarheter eller kontolekkasjer. Simbiote lar deg konsolidere din tilstedeværelse i systemet etter hacking for å utføre ytterligere angrep, skjule aktiviteten til andre ondsinnede applikasjoner og organisere avskjæring av konfidensielle data.
En spesiell egenskap ved Simbiote er at den distribueres i form av et delt bibliotek, som lastes inn under oppstart av alle prosesser ved hjelp av LD_PRELOAD-mekanismen og erstatter noen anrop til standardbiblioteket. Forfalskede anropsbehandlere skjuler bakdørrelatert aktivitet, for eksempel å ekskludere spesifikke elementer i prosesslisten, blokkere tilgang til visse filer i /proc, skjule filer i kataloger, ekskludere skadelig delt bibliotek i ldd-utdata (kapre execve-funksjonen og analysere anrop med en miljøvariabelen LD_TRACE_LOADED_OBJECTS) viser ikke nettverkskontakter assosiert med ondsinnet aktivitet.
For å beskytte mot trafikkinspeksjon blir libpcap-biblioteksfunksjonene redefinert, /proc/net/tcp lesefiltrering og et eBPF-program lastes inn i kjernen, som forhindrer driften av trafikkanalysatorer og forkaster tredjepartsforespørsler til sine egne nettverksbehandlere. eBPF-programmet lanseres blant de første prosessorene og kjøres på det laveste nivået av nettverksstakken, som lar deg skjule nettverksaktiviteten til bakdøren, inkludert fra analysatorer som ble lansert senere.
Simbiote lar deg også omgå noen aktivitetsanalysatorer i filsystemet, siden tyveri av konfidensielle data ikke kan utføres på nivået for å åpne filer, men ved å avskjære leseoperasjoner fra disse filene i legitime applikasjoner (for eksempel substitusjon av bibliotek funksjoner lar deg avskjære brukeren som skriver inn et passord eller laster fra en fildata med tilgangsnøkkel). For å organisere ekstern pålogging, avskjærer Simbiote noen PAM-anrop (Pluggable Authentication Module), som lar deg koble til systemet via SSH med visse angripende legitimasjon. Det er også et skjult alternativ for å øke rettighetene dine til root-brukeren ved å angi HTTP_SETTHIS-miljøvariabelen.
Kilde: opennet.ru