Cilmi-baarayaal ka socda Intezer iyo BlackBerry waxay heleen malware-ka loo yaqaan Simbiote, kaas oo loo isticmaalo in lagu duro albaabbada dambe iyo rootkit-yada serferrada waxyeellada leh ee ku shaqeeya Linux. Malware waxaa laga helay nidaamyada hay'adaha maaliyadeed ee dhowr waddan oo Latin America ah. Si loo rakibo Simbiote nidaamka, weeraryahanku waa inuu lahaadaa marin xidid, kaas oo la heli karo, tusaale ahaan, natiijada ka faa'iidaysiga dayacanka aan la daboolin ama akoonnada daadanaya. Simbiote wuxuu kuu ogolaanayaa inaad xoojiso joogitaankaaga nidaamka ka dib markaad jabsato si aad u sameyso weeraro dheeraad ah, qariso waxqabadka codsiyada kale ee xaasidnimada ah oo aad abaabulo dhexda xogta sirta ah.
Sifada gaarka ah ee Simbiote waa in loo qaybiyo qaab maktabad la wadaago, taas oo la raray inta lagu guda jiro bilawga dhammaan hababka iyadoo la adeegsanayo habka LD_PRELOAD oo beddelaya wicitaannada qaar ee maktabadda caadiga ah. Gacan-ku-hayayaasha wicitaanka ee aan la garanayn waxay qariyaan hawlaha la xidhiidha albaabka dambe, sida ka reebista walxaha gaarka ah ee liiska nidaamka, xannibista gelitaanka faylalka qaarkood ee ku jira/proc, qarinta faylasha hagayaasha, marka laga reebo maktabadda xaasidnimada leh ee la wadaago ee ku jirta wax soo saarka ldd (afduubka shaqada fulinta iyo falanqaynta wicitaannada Bey'ada doorsooma LD_TRACE_LOADED_OBJECTS) ma muujiyaan saldhigyada shabakada ee la xidhiidha hawlaha xaasidnimada ah.
Si looga ilaaliyo kormeerka taraafikada, shaqooyinka maktabadda libpcap waa la qeexay, /proc/net/tcp akhrinta shaandhaynta iyo barnaamijka eBPF ayaa lagu shubay kernel-ka, kaas oo ka hortagaya hawlgalka falanqeeyayaasha taraafikada oo tuuraya codsiyada dhinac saddexaad ee maamulayaasha shabakadeeda. Barnaamijka eBPF waxaa laga dhex bilaabay soo-saareyaashii ugu horreeyay waxaana lagu fuliyay heerka ugu hooseeya ee xirmada shabakadda, kaasoo kuu oggolaanaya inaad qariso dhaqdhaqaaqa shabakadda ee albaabka dambe, oo ay ku jiraan falanqeeyayaasha la bilaabay mar dambe.
Simbiote sidoo kale wuxuu kuu ogolaanayaa inaad ka gudubto qaar ka mid ah falanqeeyayaasha dhaqdhaqaaqa ee nidaamka faylka, maadaama xatooyada xogta sirta ah lagu fulin karo ma aha heerka furitaanka faylasha, laakiin iyada oo la dhexgalinayo hawlgallada akhrinta faylashaas codsiyada sharciga ah (tusaale, beddelka maktabadda Hawlaha waxay kuu oggolaanayaan inaad dhexda u gasho isticmaalaha gelaya erayga sirta ah ama ka soo dejinta xogta faylka leh furaha gelitaanka). Si loo abaabulo galitaanka fog, Simbiote waxay ka hortagtaa qaar ka mid ah wicitaanada PAM (Module Authentication Module), kaas oo kuu ogolaanaya inaad ku xidho nidaamka SSH oo wata aqoonsiyo weerar oo gaar ah. Waxa kale oo jira ikhtiyaar qarsoon oo lagu kordhinayo mudnaantaada isticmaalaha xididka adiga oo dejinaya doorsoomiyaha deegaanka HTTP_SETHIS.
Source: opennet.ru