Výskumníci z Intezer a BlackBerry objavili malvér s kódovým označením Simbiote, ktorý sa používa na vstrekovanie backdoorov a rootkitov do napadnutých serverov so systémom Linux. Malvér bol zistený v systémoch finančných inštitúcií vo viacerých krajinách Latinskej Ameriky. Na inštaláciu Simbiote do systému musí mať útočník root prístup, ktorý môže získať napríklad v dôsledku zneužitia neopravených zraniteľností alebo únikov účtov. Simbiote vám umožňuje upevniť svoju prítomnosť v systéme po hackovaní, aby ste vykonali ďalšie útoky, skryli aktivitu iných škodlivých aplikácií a zorganizovali zachytenie dôverných údajov.
Zvláštnosťou Simbiote je, že je distribuovaný vo forme zdieľanej knižnice, ktorá sa načíta pri štarte všetkých procesov pomocou mechanizmu LD_PRELOAD a nahrádza niektoré volania štandardnej knižnice. Sfalšované obslužné programy hovorov skrývajú aktivity súvisiace so zadnými vrátkami, ako je vylúčenie konkrétnych položiek zo zoznamu procesov, blokovanie prístupu k určitým súborom v /proc, skrytie súborov v adresároch, vylúčenie škodlivej zdieľanej knižnice vo výstupe ldd (zneužitie funkcie execve a analyzovanie volaní pomocou premenná prostredia LD_TRACE_LOADED_OBJECTS) nezobrazujú sieťové zásuvky spojené so škodlivou aktivitou.
Na ochranu pred kontrolou prevádzky sú predefinované funkcie knižnice libpcap, filtrovanie čítania /proc/net/tcp a do jadra je načítaný program eBPF, ktorý bráni prevádzke analyzátorov návštevnosti a zahadzuje požiadavky tretích strán na jeho vlastné sieťové obslužné programy. Program eBPF sa spúšťa medzi prvými procesormi a je vykonávaný na najnižšej úrovni sieťového zásobníka, čo vám umožňuje skryť sieťovú aktivitu backdoor, a to aj pred analyzátormi spustenými neskôr.
Simbiote vám tiež umožňuje obísť niektoré analyzátory aktivity v súborovom systéme, pretože krádež dôverných údajov nie je možné vykonať na úrovni otvárania súborov, ale prostredníctvom zachytenia operácií čítania z týchto súborov v legitímnych aplikáciách (napríklad nahradenie knižnice vám umožňuje zachytiť používateľa pri zadávaní hesla alebo načítavaní údajov zo súboru pomocou prístupového kľúča). Na organizáciu vzdialeného prihlásenia Simbiote zachytáva niektoré hovory PAM (Pluggable Authentication Module), čo vám umožňuje pripojiť sa k systému cez SSH s určitými útočnými povereniami. Existuje aj skrytá možnosť zvýšiť vaše privilégiá pre užívateľa root nastavením premennej prostredia HTTP_SETTHIS.
Zdroj: opennet.ru