Badacze z firm Intezer i BlackBerry odkryli złośliwe oprogramowanie o nazwie kodowej Simbiote, które służy do wstrzykiwania backdoorów i rootkitów do zainfekowanych serwerów z systemem Linux. W systemach instytucji finansowych w kilku krajach Ameryki Łacińskiej wykryto złośliwe oprogramowanie. Aby zainstalować Simbiote w systemie, atakujący musi mieć dostęp do konta root, który można uzyskać na przykład w wyniku wykorzystania niezałatanych luk lub wycieków kont. Simbiote pozwala na utrwalenie swojej obecności w systemie po włamaniu w celu przeprowadzenia dalszych ataków, ukrycia aktywności innych złośliwych aplikacji i zorganizowania przechwytywania poufnych danych.
Cechą szczególną Simbiote jest to, że jest on dystrybuowany w formie współdzielonej biblioteki, która ładowana jest podczas uruchamiania wszystkich procesów za pomocą mechanizmu LD_PRELOAD i zastępuje niektóre wywołania biblioteki standardowej. Programy obsługi sfałszowanych połączeń ukrywają działania związane z backdoorami, takie jak wykluczanie określonych elementów z listy procesów, blokowanie dostępu do niektórych plików w /proc, ukrywanie plików w katalogach, wykluczanie złośliwej biblioteki współdzielonej w wynikach ldd (przejmowanie funkcji execve i analizowanie wywołań za pomocą zmienna środowiskowa LD_TRACE_LOADED_OBJECTS) nie pokazują gniazd sieciowych powiązanych ze złośliwą aktywnością.
Aby chronić przed inspekcją ruchu, funkcje biblioteki libpcap zostały przedefiniowane, /proc/net/tcp filtrowanie odczytu, a do jądra ładowany jest program eBPF, który uniemożliwia działanie analizatorów ruchu i odrzuca żądania stron trzecich do własnych procedur obsługi sieci. Program eBPF uruchamiany jest wśród pierwszych procesorów i wykonywany na najniższym poziomie stosu sieciowego, co pozwala ukryć aktywność sieciową backdoora, także przed uruchamianymi później analizatorami.
Simbiote pozwala także ominąć niektóre analizatory aktywności w systemie plików, gdyż kradzież poufnych danych może nastąpić nie na poziomie otwierania plików, ale poprzez przechwytywanie operacji odczytu tych plików w legalnych aplikacjach (np. funkcje pozwalają na przechwycenie wprowadzania przez użytkownika hasła lub wczytywania danych z pliku za pomocą klucza dostępu). Aby zorganizować zdalne logowanie, Simbiote przechwytuje niektóre połączenia PAM (Puggable Authentication Module), które umożliwiają połączenie się z systemem przez SSH z określonymi danymi uwierzytelniającymi. Istnieje również ukryta opcja zwiększenia uprawnień użytkownika root poprzez ustawienie zmiennej środowiskowej HTTP_SETTHIS.
Źródło: opennet.ru