Raziskovalci iz Intezerja in BlackBerryja so odkrili zlonamerno programsko opremo s kodnim imenom Simbiote, ki se uporablja za vstavljanje stranskih vrat in rootkitov v ogrožene strežnike z operacijskim sistemom Linux. Zlonamerna programska oprema je bila odkrita v sistemih finančnih institucij v več državah Latinske Amerike. Za namestitev Simbiote v sistem mora napadalec imeti korenski dostop, ki ga lahko pridobi na primer z izkoriščanjem nezakrpanih ranljivosti ali uhajanja računov. Simbiote vam omogoča, da utrdite svojo prisotnost v sistemu po vdoru, da izvedete nadaljnje napade, skrijete aktivnost drugih zlonamernih aplikacij in organizirate prestrezanje zaupnih podatkov.
Posebnost Simbiote je, da je distribuiran v obliki skupne knjižnice, ki se naloži med zagonom vseh procesov z uporabo mehanizma LD_PRELOAD in nadomesti nekatere klice standardne knjižnice. Upravljavci ponarejenih klicev skrivajo dejavnost, povezano z zadnjimi vrati, kot je izključevanje določenih elementov na seznamu procesov, blokiranje dostopa do določenih datotek v /proc, skrivanje datotek v imenikih, izključevanje zlonamerne knjižnice v skupni rabi v izhodu ldd (ugrabitev funkcije execve in analiziranje klicev z spremenljivka okolja LD_TRACE_LOADED_OBJECTS) ne prikazujejo omrežnih vtičnic, povezanih z zlonamerno dejavnostjo.
Za zaščito pred inšpekcijo prometa so na novo definirane funkcije knjižnice libpcap, v jedro je naloženo filtriranje branja /proc/net/tcp in program eBPF, ki preprečuje delovanje analizatorjev prometa in zavrže zahteve tretjih oseb do lastnih upravljavcev omrežja. Program eBPF je bil predstavljen med prvimi procesorji in se izvaja na najnižji ravni omrežnega sklada, kar vam omogoča, da skrijete omrežno aktivnost backdoorja, tudi pred analizatorji, ki so bili zagnani pozneje.
Simbiote vam omogoča tudi, da obidete nekatere analizatorje dejavnosti v datotečnem sistemu, saj se kraja zaupnih podatkov lahko izvede ne na ravni odpiranja datotek, temveč s prestrezanjem operacij branja iz teh datotek v zakonitih aplikacijah (na primer zamenjava knjižnice omogoča prestrezanje uporabnika pri vnosu gesla ali nalaganju podatkov iz datoteke s ključem za dostop). Za organizacijo prijave na daljavo Simbiote prestreže nekatere klice PAM (Pluggable Authentication Module), ki vam omogoča povezavo s sistemom prek SSH z določenimi napadalnimi poverilnicami. Obstaja tudi skrita možnost za povečanje vaših privilegijev za korenskega uporabnika z nastavitvijo spremenljivke okolja HTTP_SETTHIS.
Vir: opennet.ru