Forskare från Intezer och BlackBerry har upptäckt skadlig kod med kodnamnet Simbiote, som används för att injicera bakdörrar och rootkits i komprometterade servrar som kör Linux. Skadlig programvara upptäcktes på system hos finansiella institutioner i flera latinamerikanska länder. För att installera Simbiote på ett system måste en angripare ha root-åtkomst, vilket till exempel kan erhållas som ett resultat av att utnyttja opatchade sårbarheter eller kontoläckor. Simbiote låter dig konsolidera din närvaro i systemet efter hackning för att utföra ytterligare attacker, dölja aktiviteten hos andra skadliga applikationer och organisera avlyssning av konfidentiell data.
En speciell egenskap hos Simbiote är att den distribueras i form av ett delat bibliotek, som laddas under uppstart av alla processer med hjälp av LD_PRELOAD-mekanismen och ersätter vissa anrop till standardbiblioteket. Hanterare av falska samtal döljer bakdörrsrelaterad aktivitet, som att exkludera specifika objekt i processlistan, blockera åtkomst till vissa filer i /proc, dölja filer i kataloger, utesluta skadligt delat bibliotek i ldd-utdata (kapa execve-funktionen och analysera anrop med en miljövariabeln LD_TRACE_LOADED_OBJECTS) visar inte nätverksuttag associerade med skadlig aktivitet.
För att skydda mot trafikinspektion omdefinieras libpcaps biblioteksfunktioner, /proc/net/tcp läsfiltrering och ett eBPF-program laddas in i kärnan, vilket förhindrar driften av trafikanalysatorer och kasserar förfrågningar från tredje part till sina egna nätverkshanterare. eBPF-programmet lanseras bland de första processorerna och exekveras på den lägsta nivån av nätverksstacken, vilket gör att du kan dölja nätverksaktiviteten för bakdörren, inklusive från analysatorer som lanseras senare.
Simbiote låter dig också kringgå vissa aktivitetsanalysatorer i filsystemet, eftersom stöld av konfidentiell data inte kan utföras på nivån för att öppna filer, utan genom att avlyssna läsoperationer från dessa filer i legitima applikationer (till exempel ersättning av bibliotek funktioner låter dig avlyssna användaren som anger ett lösenord eller laddar från en fildata med åtkomstnyckel). För att organisera fjärrinloggning avlyssnar Simbiote några PAM-samtal (Pluggable Authentication Module), vilket låter dig ansluta till systemet via SSH med vissa attacker. Det finns också ett dolt alternativ för att öka dina privilegier för rotanvändaren genom att ställa in miljövariabeln HTTP_SETTHIS.
Källa: opennet.ru