Simbiote అనేది Linux మాల్వేర్, ఇది దాచడానికి eBPF మరియు LD_PRELOADని ఉపయోగిస్తుంది

Intezer మరియు BlackBerryకి చెందిన పరిశోధకులు Simbiote అనే సంకేతనామం గల మాల్‌వేర్‌ను కనుగొన్నారు, ఇది Linux నడుస్తున్న రాజీపడిన సర్వర్‌లలో బ్యాక్‌డోర్లు మరియు రూట్‌కిట్‌లను ఇంజెక్ట్ చేయడానికి ఉపయోగించబడుతుంది. అనేక లాటిన్ అమెరికా దేశాల్లోని ఆర్థిక సంస్థల వ్యవస్థల్లో మాల్వేర్ కనుగొనబడింది. సిస్టమ్‌లో Simbioteని ఇన్‌స్టాల్ చేయడానికి, దాడి చేసే వ్యక్తి తప్పనిసరిగా రూట్ యాక్సెస్‌ను కలిగి ఉండాలి, ఉదాహరణకు, అన్‌ప్యాచ్ చేయని దుర్బలత్వాలు లేదా ఖాతా లీక్‌లను ఉపయోగించడం వల్ల పొందవచ్చు. తదుపరి దాడులను నిర్వహించడానికి, ఇతర హానికరమైన అనువర్తనాల కార్యాచరణను దాచడానికి మరియు రహస్య డేటా యొక్క అంతరాయాన్ని నిర్వహించడానికి హ్యాకింగ్ తర్వాత సిస్టమ్‌లో మీ ఉనికిని ఏకీకృతం చేయడానికి Simbiote మిమ్మల్ని అనుమతిస్తుంది.

Simbiote యొక్క ప్రత్యేక లక్షణం ఏమిటంటే ఇది షేర్డ్ లైబ్రరీ రూపంలో పంపిణీ చేయబడుతుంది, ఇది LD_PRELOAD మెకానిజంను ఉపయోగించి అన్ని ప్రక్రియల ప్రారంభ సమయంలో లోడ్ చేయబడుతుంది మరియు ప్రామాణిక లైబ్రరీకి కొన్ని కాల్‌లను భర్తీ చేస్తుంది. స్పూఫ్డ్ కాల్ హ్యాండ్లర్లు బ్యాక్‌డోర్-సంబంధిత యాక్టివిటీని దాచిపెడతారు, ప్రాసెస్ లిస్ట్‌లోని నిర్దిష్ట ఐటెమ్‌లను మినహాయించడం, /procలో నిర్దిష్ట ఫైల్‌లకు యాక్సెస్‌ను బ్లాక్ చేయడం, డైరెక్టరీలలో ఫైల్‌లను దాచడం, ldd అవుట్‌పుట్‌లోని హానికరమైన షేర్డ్ లైబ్రరీని మినహాయించడం (ఎగ్జిక్వ్ ఫంక్షన్‌ను హైజాక్ చేయడం మరియు కాల్‌లను విశ్లేషించడం ఎన్విరాన్మెంట్ వేరియబుల్ LD_TRACE_LOADED_OBJECTS) హానికరమైన కార్యాచరణతో అనుబంధించబడిన నెట్‌వర్క్ సాకెట్‌లను చూపదు.

ట్రాఫిక్ తనిఖీ నుండి రక్షించడానికి, libpcap లైబ్రరీ ఫంక్షన్‌లు పునర్నిర్వచించబడ్డాయి, /proc/net/tcp రీడ్ ఫిల్టరింగ్ మరియు eBPF ప్రోగ్రామ్ కెర్నల్‌లోకి లోడ్ చేయబడుతుంది, ఇది ట్రాఫిక్ ఎనలైజర్‌ల ఆపరేషన్‌ను నిరోధిస్తుంది మరియు దాని స్వంత నెట్‌వర్క్ హ్యాండ్లర్‌లకు మూడవ పక్ష అభ్యర్థనలను విస్మరిస్తుంది. eBPF ప్రోగ్రామ్ మొదటి ప్రాసెసర్‌లలో ప్రారంభించబడింది మరియు నెట్‌వర్క్ స్టాక్ యొక్క అత్యల్ప స్థాయిలో అమలు చేయబడుతుంది, ఇది తర్వాత ప్రారంభించబడిన ఎనలైజర్‌లతో సహా బ్యాక్‌డోర్ యొక్క నెట్‌వర్క్ కార్యాచరణను దాచడానికి మిమ్మల్ని అనుమతిస్తుంది.

ఫైల్ సిస్టమ్‌లోని కొన్ని కార్యాచరణ ఎనలైజర్‌లను దాటవేయడానికి Simbiote మిమ్మల్ని అనుమతిస్తుంది, ఎందుకంటే రహస్య డేటా దొంగతనం ఫైల్‌లను తెరిచే స్థాయిలో కాకుండా, చట్టబద్ధమైన అప్లికేషన్‌లలో ఈ ఫైల్‌ల నుండి రీడ్ ఆపరేషన్‌లను అడ్డుకోవడం ద్వారా (ఉదాహరణకు, ప్రత్యామ్నాయం) లైబ్రరీ ఫంక్షన్‌లు వినియోగదారు పాస్‌వర్డ్‌ను నమోదు చేస్తున్నప్పుడు లేదా యాక్సెస్ కీతో ఫైల్ డేటా నుండి లోడ్ అవుతున్నప్పుడు అడ్డగించడానికి మిమ్మల్ని అనుమతిస్తుంది). రిమోట్ లాగిన్‌ని నిర్వహించడానికి, Simbiote కొన్ని PAM కాల్‌లను అడ్డుకుంటుంది (ప్లగ్ చేయదగిన ప్రమాణీకరణ మాడ్యూల్), ఇది నిర్దిష్ట దాడి చేసే ఆధారాలతో SSH ద్వారా సిస్టమ్‌కి కనెక్ట్ చేయడానికి మిమ్మల్ని అనుమతిస్తుంది. HTTP_SETTHIS ఎన్విరాన్మెంట్ వేరియబుల్‌ని సెట్ చేయడం ద్వారా రూట్ యూజర్‌కు మీ అధికారాలను పెంచడానికి దాచిన ఎంపిక కూడా ఉంది.

మూలం: opennet.ru