Watafiti kutoka Intezer na BlackBerry wamegundua programu hasidi inayoitwa Simbiote, ambayo hutumiwa kuingiza milango ya nyuma na vifaa vya mizizi kwenye seva zilizoathiriwa zinazoendesha Linux. Programu hasidi iligunduliwa kwenye mifumo ya taasisi za kifedha katika nchi kadhaa za Amerika Kusini. Ili kufunga Simbiote kwenye mfumo, mshambuliaji lazima awe na upatikanaji wa mizizi, ambayo inaweza kupatikana, kwa mfano, kama matokeo ya kutumia udhaifu usio na kibali au uvujaji wa akaunti. Simbiote hukuruhusu kujumuisha uwepo wako kwenye mfumo baada ya utapeli ili kutekeleza shambulio zaidi, kuficha shughuli za programu zingine hasidi na kupanga utekaji data wa siri.
Kipengele maalum cha Simbiote ni kwamba inasambazwa katika mfumo wa maktaba iliyoshirikiwa, ambayo hupakiwa wakati wa uanzishaji wa michakato yote kwa kutumia utaratibu wa LD_PRELOAD na kuchukua nafasi ya simu kwa maktaba ya kawaida. Vidhibiti simu vilivyoibiwa huficha shughuli zinazohusiana na mlango wa nyuma, kama vile kutojumuisha vipengee mahususi katika orodha ya mchakato, kuzuia ufikiaji wa faili fulani katika /proc, kuficha faili katika saraka, bila kujumuisha maktaba hasidi iliyoshirikiwa katika pato la ldd (kuteka nyara utendaji kazi na kuchambua simu kwa kutumia utofauti wa mazingira LD_TRACE_LOADED_OBJECTS) hauonyeshi soketi za mtandao zinazohusishwa na shughuli hasidi.
Ili kulinda dhidi ya ukaguzi wa trafiki, utendakazi wa maktaba ya libpcap hufafanuliwa upya, uchujaji wa kusoma /proc/net/tcp na programu ya eBPF inapakiwa kwenye kernel, ambayo inazuia utendakazi wa vichanganuzi vya trafiki na kutupa maombi ya wahusika wengine kwa vidhibiti vyake vya mtandao. Programu ya eBPF imezinduliwa kati ya wasindikaji wa kwanza na inatekelezwa kwa kiwango cha chini kabisa cha stack ya mtandao, ambayo inakuwezesha kujificha shughuli za mtandao wa backdoor, ikiwa ni pamoja na kutoka kwa wachambuzi waliozinduliwa baadaye.
Simbiote pia hukuruhusu kupitisha wachambuzi wa shughuli kwenye mfumo wa faili, kwani wizi wa data ya siri unaweza kufanywa sio kwa kiwango cha kufungua faili, lakini kupitia kukatiza shughuli za usomaji kutoka kwa faili hizi katika programu halali (kwa mfano, uingizwaji wa maktaba). kazi hukuruhusu kukatiza mtumiaji akiingiza nenosiri au kupakia kutoka kwa data ya faili na ufunguo wa ufikiaji). Ili kupanga kuingia kwa mbali, Simbiote hukatiza baadhi ya simu za PAM (Moduli ya Uthibitishaji Inayoweza Kuchomekwa), ambayo inakuruhusu kuunganisha kwenye mfumo kupitia SSH na vitambulisho fulani vya kushambulia. Pia kuna chaguo lililofichwa la kuongeza haki zako kwa mtumiaji wa mizizi kwa kuweka utofauti wa mazingira wa HTTP_SETTHIS.
Chanzo: opennet.ru