Intezer va BlackBerry tadqiqotchilari Simbiote kod nomidagi zararli dasturni topdilar, u Linux bilan ishlaydigan buzilgan serverlarga backdoor va rootkitlarni kiritish uchun ishlatiladi. Lotin Amerikasining bir qancha mamlakatlaridagi moliya institutlari tizimlarida zararli dastur aniqlangan. Simbiote-ni tizimga o'rnatish uchun tajovuzkor ildizga kirish huquqiga ega bo'lishi kerak, masalan, tuzatilmagan zaifliklardan foydalanish yoki hisob qaydnomasi sizib chiqishi natijasida olinishi mumkin. Simbiote keyingi hujumlarni amalga oshirish, boshqa zararli dasturlarning faolligini yashirish va maxfiy ma'lumotlarni ushlashni tashkil qilish uchun xakerlikdan so'ng tizimdagi mavjudligingizni birlashtirishga imkon beradi.
Simbiote-ning o'ziga xos xususiyati shundaki, u umumiy kutubxona ko'rinishida taqsimlanadi, u LD_PRELOAD mexanizmi yordamida barcha jarayonlarni ishga tushirish vaqtida yuklanadi va standart kutubxonaga ba'zi qo'ng'iroqlarni almashtiradi. Soxta qoʻngʻiroqlar ishlov beruvchilari jarayonlar roʻyxatidagi muayyan elementlarni chiqarib tashlash, /procʼdagi baʼzi fayllarga kirishni bloklash, kataloglardagi fayllarni yashirish, ldd chiqishidagi zararli umumiy kutubxonani istisno qilish (execve funksiyasini oʻgʻirlash va qoʻngʻiroqlarni tahlil qilish) kabi orqa eshiklar bilan bogʻliq faoliyatni yashiradi. LD_TRACE_LOADED_OBJECTS muhit o'zgaruvchisi) zararli faoliyat bilan bog'liq tarmoq soketlarini ko'rsatmaydi.
Trafik tekshiruvidan himoyalanish uchun libpcap kutubxonasi funksiyalari qayta aniqlangan, /proc/net/tcp o‘qish filtri va yadroga eBPF dasturi yuklangan, bu esa trafik analizatorlarining ishlashiga to‘sqinlik qiladi va o‘z tarmoq ishlovchilariga uchinchi tomon so‘rovlarini rad etadi. eBPF dasturi birinchi protsessorlar orasida ishga tushiriladi va tarmoq stekining eng past darajasida bajariladi, bu esa orqa eshikning tarmoq faolligini, shu jumladan keyinroq ishga tushirilgan analizatorlardan yashirish imkonini beradi.
Simbiote shuningdek, fayl tizimidagi ba'zi faoliyat analizatorlarini chetlab o'tishga imkon beradi, chunki maxfiy ma'lumotlarni o'g'irlash fayllarni ochish darajasida emas, balki qonuniy ilovalarda ushbu fayllardan o'qish operatsiyalarini ushlab turish orqali amalga oshirilishi mumkin (masalan, kutubxonani almashtirish funktsiyalari foydalanuvchining parolni kiritayotganini yoki fayldan ma'lumotlarni yuklashini kirish kaliti bilan ushlab turishga imkon beradi). Masofaviy kirishni tashkil qilish uchun Simbiote ba'zi PAM qo'ng'iroqlarini (Pluggable Authentication Module) ushlab turadi, bu sizga ma'lum hujum qiluvchi hisob ma'lumotlari bilan SSH orqali tizimga ulanish imkonini beradi. HTTP_SETTHIS muhit o'zgaruvchisini o'rnatish orqali ildiz foydalanuvchisiga imtiyozlaringizni oshirishning yashirin varianti ham mavjud.
Manba: opennet.ru