پرو ہوسٹر > بلاگ > انٹرنیٹ کی خبریں > Simbiote ایک لینکس میلویئر ہے جو چھپانے کے لیے eBPF اور LD_PRELOAD استعمال کرتا ہے۔

Simbiote ایک لینکس میلویئر ہے جو چھپانے کے لیے eBPF اور LD_PRELOAD استعمال کرتا ہے۔

انٹیزر اور بلیک بیری کے محققین نے سمبیوٹ نامی میلویئر کو دریافت کیا ہے، جو لینکس چلانے والے کمپرومائزڈ سرورز میں بیک ڈور اور روٹ کٹس کو انجیکشن کرنے کے لیے استعمال ہوتا ہے۔ کئی لاطینی امریکی ممالک میں مالیاتی اداروں کے سسٹمز پر میلویئر کا پتہ چلا۔ کسی سسٹم پر سمبیوٹ کو انسٹال کرنے کے لیے، حملہ آور کے پاس روٹ تک رسائی ہونی چاہیے، جو حاصل کی جا سکتی ہے، مثال کے طور پر، بغیر پیچیدگیوں یا اکاؤنٹ کے لیک ہونے کا فائدہ اٹھانے کے نتیجے میں۔ سمبیوٹ آپ کو مزید حملے کرنے، دیگر نقصان دہ ایپلی کیشنز کی سرگرمی کو چھپانے اور خفیہ ڈیٹا کی مداخلت کو منظم کرنے کے لیے ہیکنگ کے بعد سسٹم میں اپنی موجودگی کو مستحکم کرنے کی اجازت دیتا ہے۔

سمبیوٹ کی ایک خاص خصوصیت یہ ہے کہ اسے ایک مشترکہ لائبریری کی شکل میں تقسیم کیا جاتا ہے، جو LD_PRELOAD میکانزم کا استعمال کرتے ہوئے تمام عمل کے آغاز کے دوران لوڈ ہوتا ہے اور معیاری لائبریری میں کچھ کالوں کی جگہ لے لیتا ہے۔ جعلی کال ہینڈلرز بیک ڈور سے متعلقہ سرگرمی کو چھپاتے ہیں، جیسے کہ عمل کی فہرست میں مخصوص آئٹمز کو خارج کرنا، /proc میں مخصوص فائلوں تک رسائی کو مسدود کرنا، فائلوں کو ڈائریکٹریز میں چھپانا، ldd آؤٹ پٹ میں بدنیتی پر مبنی مشترکہ لائبریری کو چھوڑنا (ایگزیکیو فنکشن کو ہائی جیک کرنا اور کالز کا تجزیہ کرنا۔ ماحولیاتی متغیر LD_TRACE_LOADED_OBJECTS) بدنیتی پر مبنی سرگرمی سے وابستہ نیٹ ورک ساکٹ نہیں دکھاتے ہیں۔

ٹریفک کے معائنے سے بچانے کے لیے، libpcap لائبریری کے فنکشنز کی نئی تعریف کی گئی ہے، /proc/net/tcp ریڈ فلٹرنگ اور ایک eBPF پروگرام کرنل میں لوڈ کیا جاتا ہے، جو ٹریفک تجزیہ کاروں کے آپریشن کو روکتا ہے اور اس کے اپنے نیٹ ورک ہینڈلرز کو تھرڈ پارٹی کی درخواستوں کو مسترد کرتا ہے۔ ای بی پی ایف پروگرام پہلے پروسیسرز کے درمیان شروع کیا گیا ہے اور اسے نیٹ ورک اسٹیک کی نچلی سطح پر عمل میں لایا جاتا ہے، جو آپ کو بیک ڈور نیٹ ورک کی سرگرمی کو چھپانے کی اجازت دیتا ہے، بشمول بعد میں لانچ کیے گئے تجزیہ کاروں سے۔

سمبیوٹ آپ کو فائل سسٹم میں کچھ سرگرمی کے تجزیہ کاروں کو نظرانداز کرنے کی بھی اجازت دیتا ہے، کیونکہ خفیہ ڈیٹا کی چوری فائلوں کو کھولنے کی سطح پر نہیں، بلکہ جائز ایپلی کیشنز میں ان فائلوں سے پڑھنے کی کارروائیوں کو روکنے کے ذریعے کی جا سکتی ہے (مثال کے طور پر، لائبریری کا متبادل۔ فنکشنز آپ کو صارف کو پاس ورڈ داخل کرنے یا فائل ڈیٹا کو رسائی کلید کے ساتھ لوڈ کرنے سے روکنے کی اجازت دیتا ہے)۔ ریموٹ لاگ ان کو منظم کرنے کے لیے، سمبیوٹ کچھ PAM کالز کو روکتا ہے (پلگ ایبل توثیقی ماڈیول)، جو آپ کو SSH کے ذریعے کچھ حملہ آور اسناد کے ساتھ سسٹم سے جڑنے کی اجازت دیتا ہے۔ HTTP_SETTHIS ماحولیاتی متغیر کو ترتیب دے کر روٹ صارف کے لیے اپنی مراعات میں اضافہ کرنے کا ایک پوشیدہ آپشن بھی ہے۔

Simbiote - لینکس میلویئر جو چھپانے کے لیے eBPF اور LD_PRELOAD استعمال کرتا ہے۔


ماخذ: opennet.ru

نیا تبصرہ شامل کریں