Intezer 和 BlackBerry 的研究人員發現了代號為 Simbiote 的惡意軟體,該惡意軟體用於將後門和 rootkit 注入運行 Linux 的受感染伺服器中。在多個拉丁美洲國家的金融機構系統中偵測到惡意軟體。要在系統上安裝 Simbiote,攻擊者必須擁有 root 存取權限,例如,可以透過利用未修補的漏洞或帳戶洩漏來獲得 root 存取權限。 Simbiote 允許您在遭受駭客攻擊後鞏固您在系統中的存在,以實施進一步的攻擊、隱藏其他惡意應用程式的活動並組織對機密資料的攔截。
Simbiote 的一個特點是它以共享庫的形式進行分發,在所有進程啟動時使用 LD_PRELOAD 機制載入該共享庫,並取代一些對標準庫的呼叫。欺騙性呼叫處理程序隱藏與後門相關的活動,例如排除進程清單中的特定項目、阻止對/proc 中某些檔案的存取、隱藏目錄中的檔案、排除ldd 輸出中的惡意共用程式庫(劫持execve 函數並使用環境變數 LD_TRACE_LOADED_OBJECTS) 不顯示與惡意活動關聯的網路套接字。
為了防止流量檢查,重新定義了libpcap 庫函數,/proc/net/tcp 讀取過濾,並將eBPF 程式載入到核心中,這會阻止流量分析器的操作並丟棄對其自己的網路處理程序的第三方請求。 eBPF 程式在第一批處理器中啟動,並在網路堆疊的最低層級執行,這可讓您隱藏後門的網路活動,包括後來啟動的分析器。
Simbiote 還允許您繞過檔案系統中的一些活動分析器,因為機密資料的竊取不是在開啟檔案的層級上進行的,而是透過在合法應用程式中攔截這些檔案的讀取操作來進行(例如,替換庫)函數可讓您攔截使用者輸入密碼或使用存取金鑰從檔案載入資料)。為了組織遠端登入,Simbiote 會攔截一些 PAM 呼叫(可插入身份驗證模組),這允許您使用某些攻擊憑證透過 SSH 連接到系統。還有一個隱藏選項可以透過設定 HTTP_SETTHIS 環境變數來增加 root 使用者的權限。
來源: opennet.ru