Intezer 和 BlackBerry 的研究人员发现了代号为 Simbiote 的恶意软件,该恶意软件用于将后门和 rootkit 注入受感染的 Linux 服务器上。 拉丁美洲多个国家的金融机构系统中发现恶意软件。 要在系统上安装 Simbiote,攻击者必须拥有 root 访问权限,例如,可以通过利用未修补的漏洞或泄露帐户来获得 root 访问权限。 Simbiote 允许您在遭受黑客攻击后保护您在系统中的存在,以进行进一步的攻击、隐藏其他恶意应用程序的活动并组织机密数据的拦截。
Simbiote的一个特点是以共享库的形式进行分发,它在所有进程启动时使用LD_PRELOAD机制加载,并取代了对标准库的一些调用。 欺骗性调用处理程序隐藏后门相关活动,例如排除进程列表中的某些项目、阻止访问 /proc 中的某些文件、隐藏目录中的文件、从 ldd 输出中排除恶意共享库(execve 函数被拦截并解析调用)使用环境变量 LD_TRACE_LOADED_OBJECTS)不会显示与恶意活动关联的网络套接字。
为了防止流量检查,重新定义了libpcap库的功能,对/proc/net/tcp进行了读取过滤,并在内核中加载了eBPF程序,从而阻止流量分析器工作并丢弃第三方对自己的请求网络处理程序。 eBPF 程序在第一个处理程序中启动,并在网络堆栈的最低级别运行,这使得隐藏后门的网络活动成为可能,包括对后来启动的分析器隐藏。
Simbiote 还允许您绕过文件系统中的一些活动分析器,因为机密数据的盗窃可以不是在打开文件的级别上进行,而是可以通过在合法应用程序中拦截这些文件的读取操作来进行(例如,替换库)函数允许您拦截用户输入的密码或从文件加载的文件)。访问密钥数据)。 为了组织远程登录,Simbiote 会拦截一些 PAM 调用(可插入身份验证模块),这允许您使用某些攻击凭据通过 SSH 连接到系统。 还有一个隐藏选项可以通过设置 HTTP_SETTHIS 环境变量来将您的权限提升到 root。
来源: opennet.ru