Точно вчера публикувахме статия, в която съобщихме, че са имали поправени 7 уязвимости в GRUB на Linux. И това е, че не сме свикнали или просто грешим: разбира се, има пропуски в сигурността и вируси в Linux, както в Windows, macOS и дори iOS/iPadOS, най-затворените системи, които съществуват. Перфектната система не съществува и въпреки че някои са по-сигурни, част от нашата сигурност се дължи на факта, че използваме операционна система с малък пазарен дял. Но малкото не е нула и това се знае от злонамерени разработчици като тези, които са създали симбионта.
Това беше Blackberry миналия четвъртък, който задейства алармата, въпреки че не започва много добре, когато се опитва да обясни името на заплахата. Там се казва, че симбионтът е организъм, който живее в симбиоза с друг организъм. Засега се справяме добре. Това, което не е толкова хубаво, е когато той казва, че понякога може да бъде симбиот паразитни когато е в полза и вреди на другия, но не, или на едното или на другото: ако и двете са от полза, като акулата и ремората, това е симбиоза. Ако ремората навреди на акулата, тя автоматично ще се превърне в паразит, но това не е час по биология или морски документален филм.
Симбиотът заразява други процеси, за да причини щети
Обяснено по-горе, Symbiote не може да бъде повече от паразит. Името му трябва да идва, може би, от това не забелязваме присъствието ти. Може да използваме заразен компютър, без да го забележим, но ако не го забележим и краде данни от нас, това ни вреди, така че не е възможна „симбиоза“. Blackberry обяснява:
Това, което прави Symbiote различен от другия зловреден софтуер на Linux, който обикновено срещаме, е, че той трябва да зарази други работещи процеси, за да нанесе щети на заразените машини. Вместо да бъде самостоятелен изпълним файл, който се изпълнява, за да зарази машина, това е библиотека за споделени обекти (OS), която се зарежда във всички работещи процеси, използвайки LD_PRELOAD (T1574.006) и паразитно заразява машината. След като зарази всички работещи процеси, той предоставя на заплахата руткит функционалност, възможност за събиране на идентификационни данни и възможност за отдалечен достъп.
Открит е през ноември 2021 г
Blackberry за първи път забеляза Symbiote през ноември 2021 г. и изглежда така тяхната дестинация е финансовият сектор на Латинска Америка. След като зарази нашия компютър, той скрива себе си и всеки друг злонамерен софтуер, използван от заплахата, което прави много трудно откриването на инфекции. Цялата ви активност е скрита, включително мрежовата активност, което прави почти невъзможно да се знае, че е там. Но лошото не е, че е, а че осигурява задна врата, за да се идентифицира като всеки потребител, регистриран на компютъра с парола със силно криптиране, и може да изпълнява команди с най-високи привилегии.
Известно е, че съществува, но е заразил много малко компютри и не са открити доказателства, че са използвани много целенасочени или широки атаки. Symbiote използва Berkeley Packet Filter за скриване на злонамерен трафик на заразения компютър:
Когато администратор стартира инструмент за улавяне на пакети на заразената машина, BPF байткодът се инжектира в ядрото, което определя кои пакети трябва да бъдат уловени. В този процес Symbiote първо добавя своя байткод, за да може да филтрира мрежовия трафик, който не иска да вижда софтуерът за улавяне на пакети.
Симбиотът се крие като най-добрия горгонит (малки воини)
Symbiote е проектиран да се зарежда от линкера чрез LD_PRELOAD. Това му позволява да се зарежда преди всякакви други споделени обекти. Зареден по-рано, той може да отвлече импортиране от други библиотечни файлове, заредени от приложението. Симбиотът използва това, за да скриват присъствието си свързване към libc и libpcap. Ако извикващото приложение се опита да осъществи достъп до файл или папка в /proc, злонамереният софтуер премахва изхода от имената на процеси, които са в неговия списък. Ако не се опита да получи достъп до нищо в /proc, тогава премахва резултата от списъка с файлове.
Blackberry завършва статията си, като казва, че имаме работа с много неуловим зловреден софтуер. Техен целта е да получите идентификационни данни и осигуряват задна врата на заразените компютри. Много е трудно да се открие, така че единственото нещо, на което можем да се надяваме, е, че пачовете ще бъдат пуснати възможно най-скоро. Не е известно да е използван много, но е опасен. От тук, както винаги, не забравяйте колко е важно да прилагате корекции за сигурност веднага щом са налични.
и че трябва да дадете предишни права за root, за да можете да го инсталирате, нали?