Các nhà nghiên cứu từ Intezer và BlackBerry đã phát hiện ra phần mềm độc hại có tên mã Simbiote, được sử dụng để tiêm backdoor và rootkit vào các máy chủ chạy Linux bị xâm nhập. Phần mềm độc hại được phát hiện trên hệ thống của các tổ chức tài chính ở một số nước Mỹ Latinh. Để cài đặt Simbiote trên hệ thống, kẻ tấn công phải có quyền truy cập root, chẳng hạn như có thể có được quyền truy cập này bằng cách khai thác các lỗ hổng chưa được vá hoặc rò rỉ tài khoản. Simbiote cho phép bạn củng cố sự hiện diện của mình trong hệ thống sau khi hack để thực hiện các cuộc tấn công tiếp theo, ẩn hoạt động của các ứng dụng độc hại khác và tổ chức chặn dữ liệu bí mật.
Điểm đặc biệt của Simbiote là nó được phân phối dưới dạng thư viện dùng chung, được tải trong quá trình khởi động tất cả các tiến trình bằng cơ chế LD_PRELOAD và thay thế một số lệnh gọi đến thư viện chuẩn. Trình xử lý cuộc gọi giả mạo ẩn hoạt động liên quan đến cửa sau, chẳng hạn như loại trừ các mục cụ thể trong danh sách quy trình, chặn quyền truy cập vào một số tệp nhất định trong /proc, ẩn tệp trong thư mục, loại trừ thư viện chia sẻ độc hại trong đầu ra ldd (chiếm quyền điều khiển chức năng execve và phân tích cuộc gọi bằng lệnh gọi). biến môi trường LD_TRACE_LOADED_OBJECTS) không hiển thị ổ cắm mạng liên quan đến hoạt động độc hại.
Để bảo vệ chống lại việc kiểm tra lưu lượng, các chức năng thư viện libpcap được xác định lại, lọc đọc /proc/net/tcp và chương trình eBPF được tải vào kernel, ngăn chặn hoạt động của bộ phân tích lưu lượng và loại bỏ các yêu cầu của bên thứ ba đối với trình xử lý mạng của chính họ. Chương trình eBPF được khởi chạy trong số các bộ xử lý đầu tiên và được thực thi ở cấp thấp nhất của ngăn xếp mạng, cho phép bạn ẩn hoạt động mạng của cửa sau, kể cả với các máy phân tích được khởi chạy sau đó.
Simbiote cũng cho phép bạn bỏ qua một số trình phân tích hoạt động trong hệ thống tệp, vì việc đánh cắp dữ liệu bí mật có thể được thực hiện không phải ở cấp độ mở tệp mà thông qua việc chặn các hoạt động đọc từ các tệp này trong các ứng dụng hợp pháp (ví dụ: thay thế thư viện cho phép bạn chặn người dùng nhập mật khẩu hoặc tải từ dữ liệu tệp bằng khóa truy cập). Để tổ chức đăng nhập từ xa, Simbiote chặn một số cuộc gọi PAM (Mô-đun xác thực có thể cắm), cho phép bạn kết nối với hệ thống thông qua SSH với một số thông tin tấn công nhất định. Ngoài ra còn có một tùy chọn ẩn để tăng đặc quyền của bạn cho người dùng root bằng cách đặt biến môi trường HTTP_SETTHIS.
Nguồn: opennet.ru