โปรโฮสต์ > บล็อก > ข่าวทางอินเทอร์เน็ต > Simbiote เป็นมัลแวร์ Linux ที่ใช้ eBPF และ LD_PRELOAD เพื่อซ่อน

Simbiote เป็นมัลแวร์ Linux ที่ใช้ eBPF และ LD_PRELOAD เพื่อซ่อน

นักวิจัยจาก Intezer และ BlackBerry ได้ค้นพบมัลแวร์ชื่อรหัส Simbiote ซึ่งใช้ในการแทรกแบ็คดอร์และรูทคิทเข้าไปในเซิร์ฟเวอร์ที่ถูกบุกรุกซึ่งใช้ Linux ตรวจพบมัลแวร์ในระบบของสถาบันการเงินในหลายประเทศในละตินอเมริกา หากต้องการติดตั้ง Simbiote บนระบบ ผู้โจมตีจะต้องมีสิทธิ์เข้าถึงรูท ซึ่งสามารถรับได้ เช่น จากการใช้ประโยชน์จากช่องโหว่ที่ไม่ได้รับแพตช์หรือการรั่วไหลของบัญชี Simbiote ช่วยให้คุณสามารถรวมสถานะของคุณในระบบหลังจากการแฮ็กเพื่อทำการโจมตีเพิ่มเติม ซ่อนกิจกรรมของแอปพลิเคชันที่เป็นอันตรายอื่น ๆ และจัดระเบียบการสกัดกั้นข้อมูลที่เป็นความลับ

คุณสมบัติพิเศษของ Simbiote คือการกระจายในรูปแบบของไลบรารีที่ใช้ร่วมกัน ซึ่งจะถูกโหลดระหว่างการเริ่มต้นกระบวนการทั้งหมดโดยใช้กลไก LD_PRELOAD และแทนที่การเรียกบางอย่างไปยังไลบรารีมาตรฐาน ตัวจัดการการโทรปลอมจะซ่อนกิจกรรมที่เกี่ยวข้องกับแบ็คดอร์ เช่น การยกเว้นรายการเฉพาะในรายการกระบวนการ การบล็อกการเข้าถึงไฟล์บางไฟล์ใน /proc การซ่อนไฟล์ในไดเร็กทอรี การยกเว้นไลบรารีที่ใช้ร่วมกันที่เป็นอันตรายในเอาต์พุต ldd (การแย่งชิงฟังก์ชัน execve และการวิเคราะห์การโทรด้วย ตัวแปรสภาพแวดล้อม LD_TRACE_LOADED_OBJECTS) ไม่แสดงซ็อกเก็ตเครือข่ายที่เกี่ยวข้องกับกิจกรรมที่เป็นอันตราย

เพื่อป้องกันการตรวจสอบการรับส่งข้อมูล ฟังก์ชันไลบรารี libpcap จะถูกกำหนดใหม่ การกรองการอ่าน /proc/net/tcp และโปรแกรม eBPF จะถูกโหลดลงในเคอร์เนล ซึ่งจะป้องกันการทำงานของตัววิเคราะห์การรับส่งข้อมูล และละทิ้งคำขอของบุคคลที่สามที่ส่งไปยังตัวจัดการเครือข่ายของตนเอง โปรแกรม eBPF เปิดตัวในกลุ่มโปรเซสเซอร์รุ่นแรกๆ และดำเนินการที่ระดับต่ำสุดของสแต็กเครือข่าย ซึ่งช่วยให้คุณสามารถซ่อนกิจกรรมเครือข่ายของประตูหลัง รวมถึงจากเครื่องวิเคราะห์ที่เปิดใช้งานในภายหลัง

Simbiote ยังช่วยให้คุณข้ามตัววิเคราะห์กิจกรรมบางตัวในระบบไฟล์ได้ เนื่องจากการขโมยข้อมูลที่เป็นความลับสามารถทำได้ไม่ใช่ในระดับการเปิดไฟล์ แต่ผ่านการสกัดกั้นการดำเนินการอ่านจากไฟล์เหล่านี้ในแอปพลิเคชันที่ถูกต้องตามกฎหมาย (เช่น การทดแทน ของฟังก์ชันไลบรารีช่วยให้คุณสามารถสกัดกั้นผู้ใช้ที่ป้อนรหัสผ่านหรือโหลดจากข้อมูลไฟล์ด้วยรหัสการเข้าถึง) ในการจัดระเบียบการเข้าสู่ระบบระยะไกล Simbiote จะสกัดกั้นการเรียก PAM บางส่วน (Pluggable Authentication Module) ซึ่งช่วยให้คุณสามารถเชื่อมต่อกับระบบผ่าน SSH ด้วยข้อมูลประจำตัวในการโจมตีบางอย่าง นอกจากนี้ยังมีตัวเลือกที่ซ่อนอยู่เพื่อเพิ่มสิทธิ์ของคุณให้กับผู้ใช้รูทโดยการตั้งค่าตัวแปรสภาพแวดล้อม HTTP_SETTHIS

Simbiote - มัลแวร์ Linux ที่ใช้ eBPF และ LD_PRELOAD เพื่อซ่อน


ที่มา: opennet.ru

เพิ่มความคิดเห็น