Studiuesit nga Intezer dhe BlackBerry kanë zbuluar malware me emrin e koduar Simbiote, i cili përdoret për të injektuar backdoors dhe rootkits në serverët e komprometuar që përdorin Linux. Malware u zbulua në sistemet e institucioneve financiare në disa vende të Amerikës Latine. Për të instaluar Simbiote në një sistem, një sulmues duhet të ketë akses rrënjësor, i cili mund të merret, për shembull, si rezultat i shfrytëzimit të dobësive të papatchuara ose rrjedhjeve të llogarisë. Simbiote ju lejon të konsolidoni praninë tuaj në sistem pas hakimit për të kryer sulme të mëtejshme, për të fshehur aktivitetin e aplikacioneve të tjera me qëllim të keq dhe për të organizuar përgjimin e të dhënave konfidenciale.
Një tipar i veçantë i Simbiote është se ai shpërndahet në formën e një biblioteke të përbashkët, e cila ngarkohet gjatë fillimit të të gjitha proceseve duke përdorur mekanizmin LD_PRELOAD dhe zëvendëson disa thirrje në bibliotekën standarde. Trajtuesit e thirrjeve të falsifikuara fshehin aktivitetin e lidhur me derën e pasme, të tilla si përjashtimi i artikujve specifikë në listën e proceseve, bllokimi i aksesit në skedarë të caktuar në /proc, fshehja e skedarëve në drejtori, përjashtimi i bibliotekës së përbashkët me qëllim të keq në daljen ldd (rrëmbimi i funksionit execve dhe analizimi i thirrjeve me një ndryshorja e mjedisit LD_TRACE_LOADED_OBJECTS) nuk shfaq bazat e rrjetit të lidhura me aktivitetin keqdashës.
Për t'u mbrojtur nga inspektimi i trafikut, funksionet e bibliotekës libpcap ripërcaktohen, filtrimi i leximit /proc/net/tcp dhe një program eBPF ngarkohet në kernel, i cili parandalon funksionimin e analizuesve të trafikut dhe hedh poshtë kërkesat e palëve të treta për mbajtësit e vet të rrjetit. Programi eBPF lançohet ndër procesorët e parë dhe ekzekutohet në nivelin më të ulët të grupit të rrjetit, i cili ju lejon të fshehni aktivitetin e rrjetit të derës së pasme, përfshirë nga analizuesit e nisur më vonë.
Simbiote gjithashtu ju lejon të anashkaloni disa analizues të aktivitetit në sistemin e skedarëve, pasi vjedhja e të dhënave konfidenciale mund të kryhet jo në nivelin e hapjes së skedarëve, por përmes përgjimit të operacioneve të leximit nga këta skedarë në aplikacione legjitime (për shembull, zëvendësimi i bibliotekës funksionet ju lejojnë të kapni përdoruesin që fut një fjalëkalim ose ngarkon nga një skedar të dhënash me çelësin e hyrjes). Për të organizuar hyrjen në distancë, Simbiote përgjon disa thirrje PAM (Moduli i Autentifikimit të Pluggable), i cili ju lejon të lidheni me sistemin nëpërmjet SSH me kredenciale të caktuara sulmuese. Ekziston gjithashtu një opsion i fshehur për të rritur privilegjet tuaja ndaj përdoruesit rrënjë duke vendosur ndryshoren e mjedisit HTTP_SETTHIS.
Burimi: opennet.ru