Intezer ve BlackBerry'den araştırmacılar, Linux çalıştıran güvenliği ihlal edilmiş sunuculara arka kapılar ve rootkit'ler enjekte etmek için kullanılan Simbiote kod adlı kötü amaçlı yazılımı keşfettiler. Birçok Latin Amerika ülkesindeki finansal kuruluşların sistemlerinde kötü amaçlı yazılım tespit edildi. Simbiote'u bir sisteme kurmak için saldırganın, örneğin yamalanmamış güvenlik açıklarından veya hesap sızıntılarından yararlanılması sonucunda elde edilebilecek kök erişimine sahip olması gerekir. Simbiote, daha fazla saldırı gerçekleştirmek, diğer kötü amaçlı uygulamaların faaliyetlerini gizlemek ve gizli verilere müdahaleyi organize etmek için bilgisayar korsanlığından sonra sistemdeki varlığınızı pekiştirmenize olanak tanır.
Simbiote'un özel bir özelliği, LD_PRELOAD mekanizması kullanılarak tüm işlemlerin başlatılması sırasında yüklenen ve standart kütüphaneye yapılan bazı çağrıların yerini alan, paylaşılan bir kütüphane biçiminde dağıtılmasıdır. Sahte çağrı işleyicileri, işlem listesindeki belirli öğelerin hariç tutulması, /proc'taki belirli dosyalara erişimin engellenmesi, dizinlerdeki dosyaların gizlenmesi, ldd çıkışındaki kötü amaçlı paylaşılan kitaplığın hariç tutulması (execve işlevinin ele geçirilmesi ve çağrıların bir ortam değişkeni LD_TRACE_LOADED_OBJECTS) kötü amaçlı etkinliklerle ilişkili ağ yuvalarını göstermez.
Trafik denetimine karşı koruma sağlamak için libpcap kitaplığı işlevleri yeniden tanımlanır, /proc/net/tcp okuma filtrelemesi yapılır ve çekirdeğe, trafik analizörlerinin çalışmasını önleyen ve üçüncü taraf isteklerini kendi ağ işleyicilerine atan bir eBPF programı yüklenir. eBPF programı ilk işlemciler arasında başlatılır ve ağ yığınının en alt seviyesinde yürütülür; bu, daha sonra başlatılan analizörler de dahil olmak üzere arka kapının ağ etkinliğini gizlemenize olanak tanır.
Simbiote ayrıca dosya sistemindeki bazı etkinlik analizörlerini atlamanıza da olanak tanır, çünkü gizli verilerin çalınması dosyaların açılması düzeyinde değil, meşru uygulamalarda bu dosyalardan okuma işlemlerinin engellenmesi yoluyla gerçekleştirilebilir (örneğin, kütüphanenin değiştirilmesi) işlevleri, kullanıcının bir parola girmesini veya erişim anahtarıyla bir dosya verisinden yükleme yapmasını engellemenizi sağlar). Simbiote, uzaktan oturum açmayı organize etmek için bazı PAM çağrılarını (Takılabilir Kimlik Doğrulama Modülü) keser ve bu, belirli saldırı kimlik bilgileriyle SSH aracılığıyla sisteme bağlanmanıza olanak tanır. HTTP_SETTHIS ortam değişkenini ayarlayarak kök kullanıcıya yönelik ayrıcalıklarınızı artırmaya yönelik gizli bir seçenek de vardır.
Kaynak: opennet.ru