Pesquisadores da Intezer e da BlackBerry descobriram um malware de codinome Simbiote, que é usado para injetar backdoors e rootkits em servidores comprometidos que executam Linux. Foi detectado malware nos sistemas de instituições financeiras em vários países da América Latina. Para instalar o Simbiote em um sistema, um invasor deve ter acesso root, que pode ser obtido, por exemplo, como resultado da exploração de vulnerabilidades não corrigidas ou vazamentos de contas. O Simbiote permite consolidar sua presença no sistema após hackear para realizar novos ataques, ocultar a atividade de outros aplicativos maliciosos e organizar a interceptação de dados confidenciais.
Uma característica especial do Simbiote é que ele é distribuído na forma de uma biblioteca compartilhada, que é carregada durante a inicialização de todos os processos através do mecanismo LD_PRELOAD e substitui algumas chamadas à biblioteca padrão. Os manipuladores de chamadas falsificados ocultam atividades relacionadas ao backdoor, como exclusão de itens específicos na lista de processos, bloqueio de acesso a determinados arquivos em /proc, ocultação de arquivos em diretórios, exclusão de bibliotecas compartilhadas maliciosas na saída ldd (sequestro da função execve e análise de chamadas com um variável de ambiente LD_TRACE_LOADED_OBJECTS) não mostram soquetes de rede associados a atividades maliciosas.
Para proteção contra inspeção de tráfego, as funções da biblioteca libpcap são redefinidas, a filtragem de leitura /proc/net/tcp e um programa eBPF é carregado no kernel, o que impede a operação de analisadores de tráfego e descarta solicitações de terceiros para seus próprios manipuladores de rede. O programa eBPF é lançado entre os primeiros processadores e é executado no nível mais baixo da pilha de rede, o que permite ocultar a atividade de rede do backdoor, inclusive de analisadores iniciados posteriormente.
O Simbiote também permite contornar alguns analisadores de atividade no sistema de arquivos, uma vez que o roubo de dados confidenciais pode ser realizado não no nível de abertura de arquivos, mas através da interceptação de operações de leitura desses arquivos em aplicativos legítimos (por exemplo, substituição de biblioteca funções permite interceptar o usuário digitando uma senha ou carregando dados de um arquivo com chave de acesso). Para organizar o login remoto, o Simbiote intercepta algumas chamadas PAM (Pluggable Authentication Module), que permite conectar-se ao sistema via SSH com determinadas credenciais de ataque. Há também uma opção oculta para aumentar seus privilégios para o usuário root, definindo a variável de ambiente HTTP_SETTHIS.
Fonte: opennet.ru