Дослідники з компаній Intezer і BlackBerry виявили шкідливе програмне забезпечення, що отримало кодове ім'я Simbiote і використовується для впровадження бекдорів і rootkit-ів на скомпрометовані сервери, що працюють під управлінням Linux. Шкідливе програмне забезпечення було виявлено на системах фінансових установ ряду країн Латинської Америки. Для встановлення Simbiote в систему атакуючий повинен мати root-доступ, який може бути отриманий, наприклад, внаслідок експлуатації невиправлених уразливостей або витоку облікових записів. Simbiote дозволяє закріпити свою присутність у системі після злому для проведення подальших атак, приховування активності інших шкідливих програм та організації перехоплення конфіденційних даних.
Особливістю Simbiote є поширення у формі бібліотеки, що розділяється, яка підвантажується під час запуску всіх процесів за допомогою механізму LD_PRELOAD і підміняє деякі виклики стандартної бібліотеки. Обробники підмінених викликів приховують пов'язану з бекдором активність, наприклад, виключають окремі елементи в списку процесів, блокують доступ до певних файлів /proc, приховують файли в каталогах, виключають шкідливу бібліотеку, що розділяється, у виведенні ldd (виконується перехоплення функції execve і аналіз викликів LD_TRACE_LOADED_OBJECTS), не показують пов'язані з шкідливою активністю мережеві сокети.
Для захисту від інспектування трафіку здійснюється перевизначення функцій бібліотеки libpcap, фільтрація читання /proc/net/tcp та завантаження в ядро eBPF-програми, що перешкоджає роботі аналізаторів трафіку та відкидає сторонні запити до власних мережних обробників. eBPF-програма запускається серед перших обробників і виконується на найнижчому рівні мережевого стека, що дозволяє приховати мережеву активність бекдору в тому числі від аналізаторів, запущених пізніше.
Simbiote також дозволяє обійти деякі аналізатори активності у файловій системі, оскільки крадіжка конфіденційних даних може здійснюватися не на рівні відкриття файлів, а через перехоплення операцій читання з цих файлів у легітимних додатках (наприклад, заміна бібліотечних функцій дозволяє перехопити введення користувачем пароля або файли, що завантажуються з файлу дані з ключем доступу). Для організації дистанційного входу Simbiote перехоплює деякі PAM-дзвінки (Pluggable Authentication Module), що дозволяє підключитися до системи через SSH з певними атакуючими обліковими даними. Передбачена також прихована можливість підвищення своїх привілеїв користувача root через установку змінної оточення HTTP_SETTHIS.
Джерело: opennet.ru