Intezer ۽ BlackBerry جي محققن مالويئر ڪوڊنيم سمبيوٽ دريافت ڪيو آهي، جيڪو لينڪس تي هلندڙ سمجھوتي سرورز ۾ پٺاڻن ۽ روٽ ڪٽس کي انجڻ ڪرڻ لاءِ استعمال ڪيو ويندو آهي. ڪيترن ئي لاطيني آمريڪي ملڪن ۾ مالياتي ادارن جي سسٽم تي مالويئر دريافت ڪيو ويو. سسٽم تي سمبيوٽ کي انسٽال ڪرڻ لاءِ، هڪ حملي آور کي روٽ رسائي هجڻ گهرجي، جيڪا حاصل ڪري سگهجي ٿي، مثال طور، اڻڄاتل ڪمزورين يا اڪائونٽ ليڪس جي استحصال جي نتيجي ۾. Simbiote توهان کي اجازت ڏئي ٿو ته هيڪنگ کان پوءِ سسٽم ۾ توهان جي موجودگي کي مضبوط ڪرڻ لاءِ وڌيڪ حملا ڪرڻ لاءِ، ٻين بدسلوڪي ايپليڪيشنن جي سرگرمي کي لڪائڻ ۽ رازداري ڊيٽا جي مداخلت کي منظم ڪرڻ.
Simbiote جي هڪ خاص خصوصيت اها آهي ته اها هڪ گڏيل لائبريري جي صورت ۾ ورهايل آهي، جيڪا LD_PRELOAD ميڪانيزم استعمال ڪندي سڀني عملن جي شروعات دوران لوڊ ٿي ويندي آهي ۽ معياري لائبريري ۾ ڪجهه ڪالن کي تبديل ڪري ٿي. اسپوف ٿيل ڪال هينڊلر پوئين دروازي سان لاڳاپيل سرگرمي کي لڪائيندا آهن، جهڙوڪ پروسيس لسٽ ۾ مخصوص شيون شامل ڪرڻ، /proc ۾ مخصوص فائلن تائين رسائي کي بلاڪ ڪرڻ، فائلن کي ڊائريڪٽرن ۾ لڪائڻ، ايل ڊي ڊي آئوٽ ۾ بدڪاري واري شيئر لائبريري کي خارج ڪرڻ (ايگزيڪيو فنڪشن کي اغوا ڪرڻ ۽ ڪالن جو تجزيو ڪرڻ Environment variable LD_TRACE_LOADED_OBJECTS) خراب سرگرمي سان لاڳاپيل نيٽ ورڪ ساکٽ نه ڏيکاريو.
ٽرئفڪ جي چڪاس کان بچائڻ لاءِ، libpcap لائبريري جي ڪمن کي نئين سر وضاحت ڪئي وئي آهي، /proc/net/tcp ريڊ فلٽرنگ ۽ هڪ eBPF پروگرام ڪرنل ۾ لوڊ ڪيو ويو آهي، جيڪو ٽريفڪ اينالائيزر جي آپريشن کي روڪي ٿو ۽ ٽئين پارٽي جي درخواستن کي پنهنجي نيٽ ورڪ هينڊلرن کي رد ڪري ٿو. اي بي پي ايف پروگرام پهريون پروسيسرز جي وچ ۾ شروع ڪيو ويو آهي ۽ نيٽ ورڪ اسٽيڪ جي هيٺين سطح تي عمل ڪيو ويو آهي، جيڪو توهان کي اجازت ڏئي ٿو ته نيٽ ورڪ جي سرگرمي کي لڪائڻ جي پوئين دروازي، بشمول بعد ۾ شروع ڪيل تجزيه ڪندڙن کان.
Simbiote پڻ توهان کي فائل سسٽم ۾ ڪجهه سرگرمي تجزيه نگارن کي نظرانداز ڪرڻ جي اجازت ڏئي ٿو، ڇو ته رازداري ڊيٽا جي چوري فائلن کي کولڻ جي سطح تي نه ٿي سگهي ٿي، پر انهن فائلن مان پڙهڻ واري عملن جي مداخلت ذريعي جائز ايپليڪيشنن ۾ (مثال طور، متبادل لائبريري افعال جي توهان کي اجازت ڏئي ٿي ته صارف کي پاس ورڊ داخل ڪرڻ يا فائل ڊيٽا مان لوڊ ڪرڻ جي رسائي جي چاٻي سان مداخلت ڪرڻ جي اجازت ڏئي ٿي). ريموٽ لاگ ان کي منظم ڪرڻ لاءِ، سمبيوٽ ڪجهه PAM ڪالن کي روڪي ٿو (Pluggable Authentication Module)، جيڪو توهان کي اجازت ڏئي ٿو ته SSH ذريعي سسٽم سان ڳنڍڻ لاءِ ڪجهه حملي ڪندڙ سندن سان. HTTP_SETTHIS ماحوليات جي متغير کي ترتيب ڏيڻ سان روٽ استعمال ڪندڙ کي توهان جي استحقاق کي وڌائڻ لاء هڪ لڪيل اختيار پڻ آهي.
جو ذريعو: opennet.ru