Intezer మరియు BlackBerryకి చెందిన పరిశోధకులు Simbiote అనే సంకేతనామం గల మాల్వేర్ను కనుగొన్నారు, ఇది Linux నడుస్తున్న రాజీపడిన సర్వర్లలో బ్యాక్డోర్లు మరియు రూట్కిట్లను ఇంజెక్ట్ చేయడానికి ఉపయోగించబడుతుంది. అనేక లాటిన్ అమెరికా దేశాల్లోని ఆర్థిక సంస్థల వ్యవస్థల్లో మాల్వేర్ కనుగొనబడింది. సిస్టమ్లో Simbioteని ఇన్స్టాల్ చేయడానికి, దాడి చేసే వ్యక్తి తప్పనిసరిగా రూట్ యాక్సెస్ను కలిగి ఉండాలి, ఉదాహరణకు, అన్ప్యాచ్ చేయని దుర్బలత్వాలు లేదా ఖాతా లీక్లను ఉపయోగించడం వల్ల పొందవచ్చు. తదుపరి దాడులను నిర్వహించడానికి, ఇతర హానికరమైన అనువర్తనాల కార్యాచరణను దాచడానికి మరియు రహస్య డేటా యొక్క అంతరాయాన్ని నిర్వహించడానికి హ్యాకింగ్ తర్వాత సిస్టమ్లో మీ ఉనికిని ఏకీకృతం చేయడానికి Simbiote మిమ్మల్ని అనుమతిస్తుంది.
Simbiote యొక్క ప్రత్యేక లక్షణం ఏమిటంటే ఇది షేర్డ్ లైబ్రరీ రూపంలో పంపిణీ చేయబడుతుంది, ఇది LD_PRELOAD మెకానిజంను ఉపయోగించి అన్ని ప్రక్రియల ప్రారంభ సమయంలో లోడ్ చేయబడుతుంది మరియు ప్రామాణిక లైబ్రరీకి కొన్ని కాల్లను భర్తీ చేస్తుంది. స్పూఫ్డ్ కాల్ హ్యాండ్లర్లు బ్యాక్డోర్-సంబంధిత యాక్టివిటీని దాచిపెడతారు, ప్రాసెస్ లిస్ట్లోని నిర్దిష్ట ఐటెమ్లను మినహాయించడం, /procలో నిర్దిష్ట ఫైల్లకు యాక్సెస్ను బ్లాక్ చేయడం, డైరెక్టరీలలో ఫైల్లను దాచడం, ldd అవుట్పుట్లోని హానికరమైన షేర్డ్ లైబ్రరీని మినహాయించడం (ఎగ్జిక్వ్ ఫంక్షన్ను హైజాక్ చేయడం మరియు కాల్లను విశ్లేషించడం ఎన్విరాన్మెంట్ వేరియబుల్ LD_TRACE_LOADED_OBJECTS) హానికరమైన కార్యాచరణతో అనుబంధించబడిన నెట్వర్క్ సాకెట్లను చూపదు.
ట్రాఫిక్ తనిఖీ నుండి రక్షించడానికి, libpcap లైబ్రరీ ఫంక్షన్లు పునర్నిర్వచించబడ్డాయి, /proc/net/tcp రీడ్ ఫిల్టరింగ్ మరియు eBPF ప్రోగ్రామ్ కెర్నల్లోకి లోడ్ చేయబడుతుంది, ఇది ట్రాఫిక్ ఎనలైజర్ల ఆపరేషన్ను నిరోధిస్తుంది మరియు దాని స్వంత నెట్వర్క్ హ్యాండ్లర్లకు మూడవ పక్ష అభ్యర్థనలను విస్మరిస్తుంది. eBPF ప్రోగ్రామ్ మొదటి ప్రాసెసర్లలో ప్రారంభించబడింది మరియు నెట్వర్క్ స్టాక్ యొక్క అత్యల్ప స్థాయిలో అమలు చేయబడుతుంది, ఇది తర్వాత ప్రారంభించబడిన ఎనలైజర్లతో సహా బ్యాక్డోర్ యొక్క నెట్వర్క్ కార్యాచరణను దాచడానికి మిమ్మల్ని అనుమతిస్తుంది.
ఫైల్ సిస్టమ్లోని కొన్ని కార్యాచరణ ఎనలైజర్లను దాటవేయడానికి Simbiote మిమ్మల్ని అనుమతిస్తుంది, ఎందుకంటే రహస్య డేటా దొంగతనం ఫైల్లను తెరిచే స్థాయిలో కాకుండా, చట్టబద్ధమైన అప్లికేషన్లలో ఈ ఫైల్ల నుండి రీడ్ ఆపరేషన్లను అడ్డుకోవడం ద్వారా (ఉదాహరణకు, ప్రత్యామ్నాయం) లైబ్రరీ ఫంక్షన్లు వినియోగదారు పాస్వర్డ్ను నమోదు చేస్తున్నప్పుడు లేదా యాక్సెస్ కీతో ఫైల్ డేటా నుండి లోడ్ అవుతున్నప్పుడు అడ్డగించడానికి మిమ్మల్ని అనుమతిస్తుంది). రిమోట్ లాగిన్ని నిర్వహించడానికి, Simbiote కొన్ని PAM కాల్లను అడ్డుకుంటుంది (ప్లగ్ చేయదగిన ప్రమాణీకరణ మాడ్యూల్), ఇది నిర్దిష్ట దాడి చేసే ఆధారాలతో SSH ద్వారా సిస్టమ్కి కనెక్ట్ చేయడానికి మిమ్మల్ని అనుమతిస్తుంది. HTTP_SETTHIS ఎన్విరాన్మెంట్ వేరియబుల్ని సెట్ చేయడం ద్వారా రూట్ యూజర్కు మీ అధికారాలను పెంచడానికి దాచిన ఎంపిక కూడా ఉంది.
మూలం: opennet.ru