Natuklasan ng mga mananaliksik mula sa Intezer at BlackBerry ang malware na may codenamed Simbiote, na ginagamit upang mag-inject ng mga backdoor at rootkit sa mga nakompromisong server na nagpapatakbo ng Linux. May nakitang malware sa mga sistema ng mga institusyong pampinansyal sa ilang mga bansa sa Latin America. Upang i-install ang Simbiote sa isang system, ang isang attacker ay dapat na may root access, na maaaring makuha, halimbawa, bilang resulta ng pagsasamantala sa mga hindi na-patch na kahinaan o pag-leak ng account. Binibigyang-daan ka ng Simbiote na pagsamahin ang iyong presensya sa system pagkatapos ng pag-hack upang magsagawa ng mga karagdagang pag-atake, itago ang aktibidad ng iba pang mga nakakahamak na application at ayusin ang pagharang ng kumpidensyal na data.
Ang isang espesyal na tampok ng Simbiote ay na ito ay ipinamamahagi sa anyo ng isang shared library, na na-load sa panahon ng pagsisimula ng lahat ng mga proseso gamit ang LD_PRELOAD na mekanismo at pinapalitan ang ilang mga tawag sa karaniwang library. Itinatago ng mga spoofed call handler ang aktibidad na nauugnay sa backdoor, tulad ng pagbubukod ng mga partikular na item sa listahan ng proseso, pagharang ng access sa ilang partikular na file sa /proc, pagtatago ng mga file sa mga direktoryo, pagbubukod ng malisyosong shared library sa ldd output (pag-hijack sa execve function at pagsusuri ng mga tawag gamit ang isang environment variable LD_TRACE_LOADED_OBJECTS) ay hindi nagpapakita ng mga network socket na nauugnay sa malisyosong aktibidad.
Upang maprotektahan laban sa pag-inspeksyon ng trapiko, muling tinukoy ang mga function ng library ng libpcap, /proc/net/tcp read filtering at isang eBPF program ang nilo-load sa kernel, na pumipigil sa pagpapatakbo ng mga traffic analyzer at itinatapon ang mga kahilingan ng third-party sa sarili nitong mga tagapangasiwa ng network. Ang programa ng eBPF ay inilunsad sa mga unang processor at isinasagawa sa pinakamababang antas ng network stack, na nagpapahintulot sa iyo na itago ang aktibidad ng network ng backdoor, kabilang ang mula sa mga analyzer na inilunsad sa ibang pagkakataon.
Pinapayagan ka rin ng Simbiote na i-bypass ang ilang mga analyzer ng aktibidad sa file system, dahil ang pagnanakaw ng kumpidensyal na data ay maaaring isagawa hindi sa antas ng pagbubukas ng mga file, ngunit sa pamamagitan ng interception ng mga read operation mula sa mga file na ito sa mga lehitimong aplikasyon (halimbawa, pagpapalit ng mga function ng library ay nagbibigay-daan sa iyo na harangin ang user na naglalagay ng password o naglo-load mula sa isang file data na may access key). Upang ayusin ang malayuang pag-login, hinarang ng Simbiote ang ilang tawag sa PAM (Pluggable Authentication Module), na nagbibigay-daan sa iyong kumonekta sa system sa pamamagitan ng SSH na may ilang mga umaatakeng kredensyal. Mayroon ding nakatagong opsyon upang madagdagan ang iyong mga pribilehiyo sa root user sa pamamagitan ng pagtatakda ng HTTP_SETTHIS environment variable.
Pinagmulan: opennet.ru