بالأمس فقط نشرنا مقالًا أبلغنا فيه عن وجودهم تم إصلاح 7 نقاط ضعف في GRUB لينكس. وهو أننا لسنا معتادين على ذلك أو ببساطة مخطئون: بالطبع هناك ثغرات أمنية وفيروسات في Linux ، كما هو الحال في Windows و macOS وحتى iOS / iPadOS ، الأنظمة الموجودة الأكثر إغلاقًا. النظام المثالي غير موجود ، وعلى الرغم من أن البعض أكثر أمانًا ، إلا أن جزءًا من أماننا يرجع إلى حقيقة أننا نستخدم نظام تشغيل مع حصة قليلة في السوق. لكن القليل ليس صفراً ، وهذا ما يعرفه مطورو البرامج الضارة مثل أولئك الذين ابتكروا تكافل.
كان بلاك بيري يوم الخميس الماضي من دق ناقوس الخطر، على الرغم من أنه لا يبدأ بشكل جيد عندما يحاول شرح اسم التهديد. تقول أن المتعايش هو كائن حي يعيش في تعايش مع كائن حي آخر. حتى الآن نحن بخير. ما هو غير جيد هو عندما يقول أنه في بعض الأحيان يمكن أن يكون رمز Symbiote طفيلي عندما يفيد ويضر الآخر ، ولكن ليس ، أو واحدًا أو آخر: إذا استفاد كلاهما ، مثل القرش وريمورا ، فهو تعايش. إذا أضر الريمورا بسمك القرش ، فسيصبح طفيليًا تلقائيًا ، لكن هذا ليس فئة بيولوجيا أو فيلمًا وثائقيًا بحريًا.
يصيب Symbiote العمليات الأخرى لإحداث ضرر
أوضح ما سبق ، أن Symbiote لا يمكن أن يكون أكثر من طفيلي. ربما يأتي اسمه من ذلك نحن لا نلاحظ وجودك. قد نستخدم جهاز كمبيوتر مصابًا دون أن نلاحظه ، لكن إذا لم نلاحظه وسرقة البيانات منا ، فإنه يضرنا ، لذلك لا يوجد "تعايش" محتمل. يشرح بلاك بيري:
ما يجعل Symbiote مختلفًا عن برامج Linux الضارة الأخرى التي نواجهها عادةً هو أنه يحتاج إلى إصابة العمليات الجارية الأخرى من أجل إلحاق الضرر بالأجهزة المصابة. بدلاً من أن يكون ملفًا تنفيذيًا مستقلًا يتم تشغيله لإصابة جهاز ، فهو عبارة عن مكتبة كائنات مشتركة (OS) تقوم بتحميل نفسها في جميع العمليات قيد التشغيل باستخدام LD_PRELOAD (T1574.006) ، وتؤدي إلى إصابة الجهاز بشكل طفيلي. بمجرد أن يصيب جميع العمليات الجارية ، فإنه يزود عامل التهديد بوظيفة rootkit ، والقدرة على جمع بيانات الاعتماد ، وإمكانية الوصول عن بُعد.
تم اكتشافه في نوفمبر 2021
اكتشف بلاك بيري Symbiote لأول مرة في نوفمبر 2021 ، ويبدو أنه وجهتهم هي القطاع المالي لأمريكا اللاتينية. بمجرد إصابة جهاز الكمبيوتر الخاص بنا ، فإنه يخفي نفسه وأي برامج ضارة أخرى يستخدمها التهديد ، مما يجعل من الصعب للغاية اكتشاف العدوى. يتم إخفاء جميع أنشطتك ، بما في ذلك نشاط الشبكة ، مما يجعل من المستحيل تقريبًا معرفة وجودها. لكن الشيء السيئ ليس أنه كذلك ، ولكنه يوفر بابًا خلفيًا للتعريف عن نفسه كأي مستخدم مسجل على الكمبيوتر بكلمة مرور مع تشفير قوي ، ويمكنه تنفيذ الأوامر بأعلى الامتيازات.
من المعروف أنه موجود ، لكنه أصاب عددًا قليلاً جدًا من أجهزة الكمبيوتر ولم يتم العثور على دليل على استخدام هجمات شديدة الاستهداف أو واسعة النطاق. يستخدم Symbiote عامل تصفية Berkeley Packet لـ إخفاء حركة المرور الخبيثة من الكمبيوتر المصاب:
عندما يبدأ المسؤول أي أداة لالتقاط الحزمة على الجهاز المصاب ، يتم حقن رمز BPF bytecode في النواة التي تحدد الحزم التي يجب التقاطها. في هذه العملية ، يضيف Symbiote أولاً رمزه الثانوي بحيث يمكنه تصفية حركة مرور الشبكة التي لا تريد أن يراها برنامج التقاط الحزمة.
Symbiote يختبئ كأفضل Gorgonite (المحاربون الصغار)
تم تصميم Symbiote ليتم تحميله بواسطة الرابط عبر LD_PRELOAD. هذا يسمح لها بالتحميل قبل أي كائنات أخرى مشتركة. يجري تحميله في وقت سابق ، يمكنه اختطاف الواردات من ملفات المكتبة الأخرى التي تم تحميلها بواسطة التطبيق. يستخدم symbiote هذا ل إخفاء وجودهم التثبيت في libc و libpcap. إذا حاول التطبيق المتصل الوصول إلى ملف أو مجلد داخل / proc ، فإن البرنامج الضار يزيل ناتج أسماء العمليات الموجودة في قائمته. إذا لم يحاول الوصول إلى أي شيء داخل / proc ، فإنه يزيل النتيجة من قائمة الملفات.
أنهت Blackberry مقالتها قائلة إننا نتعامل مع برنامج ضار بعيد المنال. هُم الهدف هو الحصول على أوراق اعتماد وتوفير باب خلفي لأجهزة الكمبيوتر المصابة. من الصعب جدًا اكتشافه ، لذا فإن الشيء الوحيد الذي يمكننا أن نأمله هو أن يتم إصدار التصحيحات في أسرع وقت ممكن. لا يُعرف أنه تم استخدامه كثيرًا ، لكنه خطير. من هنا ، كما هو الحال دائمًا ، تذكر أهمية تطبيق تصحيحات الأمان بمجرد توفرها.
وأنك بحاجة إلى منح أذونات جذر سابقة لتتمكن من تثبيته ، أليس كذلك؟