Symbiote, novi, opasan i skriven virus koji pogađa Linux

Pablinux

4 minuta

simbiota

Jučer smo objavili članak u kojem smo izvijestili da jesu popravljeno 7 ranjivosti u GRUB-u Linuxa. A to je da nismo navikli na to ili jednostavno nismo u pravu: naravno, postoje sigurnosni propusti i virusi u Linuxu, kao u Windowsu, macOS-u, pa čak i iOS/iPadOS-u, najzatvorenijim sistemima koji postoje. Savršen sistem ne postoji, a iako su neki sigurniji, dio naše sigurnosti je zbog činjenice da koristimo operativni sistem sa malim tržišnim udjelom. Ali malo nije nula, a to znaju zlonamjerni programeri poput onih koji su kreirali simbiota.

Bio je to Blackberry prošlog četvrtka oglasio alarm, iako ne počinje baš dobro kada pokušava da objasni naziv pretnje. Kaže da je simbiont organizam koji živi u simbiozi sa drugim organizmom. Za sada nam ide dobro. Ono što nije tako dobro je kada kaže da ponekad može biti i simbiot parazitski kada koristi i šteti drugome, ali ne, ili jednom ili drugom: ako oboje imaju koristi, kao ajkula i remora, to je simbioza. Ako bi remora naudila ajkuli, ona bi automatski postala parazit, ali ovo nije čas biologije ili dokumentarni film o moru.

Symbiote inficira druge procese da izazove štetu

Objašnjeno gore, Symbiote ne može biti više od parazita. Njegovo ime mora da potiče, možda, odatle ne primjećujemo vaše prisustvo. Možemo koristiti zaraženi računar, a da to ne primijetimo, ali ako ga ne primijetimo i krade nam podatke, šteti nam, tako da nema moguće "simbioze". Blackberry objašnjava:

Ono po čemu se Symbiote razlikuje od drugih Linux zlonamjernih programa s kojima se obično susrećemo je to što mora inficirati druge pokrenute procese kako bi nanio štetu zaraženim mašinama. Umjesto da bude samostalna izvršna datoteka koja se pokreće da inficira mašinu, to je biblioteka zajedničkih objekata (OS) koja se učitava u sve pokrenute procese koristeći LD_PRELOAD (T1574.006) i parazitski inficira mašinu. Nakon što zarazi sve pokrenute procese, pruža akteru prijetnje funkcionalnost rootkita, mogućnost prikupljanja vjerodajnica i mogućnost daljinskog pristupa.

Otkrivena je u novembru 2021

Blackberry je prvi put uočio Symbiote u novembru 2021. i izgleda njihova destinacija je finansijski sektor Latinske Amerike. Nakon što zarazi naš računar, skriva sebe i sve druge zlonamjerne programe koje koristi prijetnja, što otežava otkrivanje infekcija. Sve vaše aktivnosti su skrivene, uključujući mrežnu aktivnost, zbog čega je gotovo nemoguće znati da je tu. Ali loša stvar nije to što jeste, već što pruža backdoor da se identifikuje kao bilo koji korisnik registrovan na računaru sa lozinkom sa jakom enkripcijom i može da izvršava komande sa najvišim privilegijama.

Poznato je da postoji, ali je zarazio vrlo malo računara i nisu pronađeni dokazi da su korišteni vrlo ciljani ili široki napadi. Symbiote koristi Berkeley paketni filter za sakriti zlonamjerni promet zaraženog računara:

Kada administrator pokrene bilo koji alat za hvatanje paketa na zaraženoj mašini, BPF bajt kod se ubrizgava u kernel koji definiše koji paketi treba da budu zarobljeni. U ovom procesu Symbiote prvo dodaje svoj bajt kod kako bi mogao filtrirati mrežni promet koji ne želi da vidi softver za hvatanje paketa.

Simbiot se krije kao najbolji Gorgonite (mali ratnici)

Symbiote je dizajniran da ga učitava linker preko LD_PRELOAD. Ovo mu omogućava da se učita prije svih drugih zajedničkih objekata. Kada se učita ranije, može oteti uvoz iz drugih datoteka biblioteke koje je učitala aplikacija. Simbiot to koristi za sakriti svoje prisustvo spajanje na libc i libpcap. Ako pozivajuća aplikacija pokuša da pristupi datoteci ili fascikli unutar /proc, zlonamerni softver uklanja izlaz imena procesa koji se nalaze na njenoj listi. Ako ne pokuša pristupiti ničemu unutar /proc, onda uklanja rezultat sa liste datoteka.

Blackberry završava svoj članak govoreći da imamo posla s vrlo neuhvatljivim zlonamjernim softverom. Njihova cilj je dobiti akreditive i obezbediti backdoor zaraženim računarima. Vrlo je teško otkriti, tako da jedino čemu se možemo nadati je da će zakrpe biti puštene u prodaju što je prije moguće. Nije poznato da se mnogo koristio, ali je opasan. Odavde, kao i uvijek, zapamtite važnost primjene sigurnosnih zakrpa čim postanu dostupne.


Ostavite komentar

Vaša e-mail adresa neće biti objavljena. Obavezna polja su označena sa *

*

*

  1. Odgovoran za podatke: AB Internet Networks 2008 SL
  2. Svrha podataka: Kontrola neželjene pošte, upravljanje komentarima.
  3. Legitimacija: Vaš pristanak
  4. Komunikacija podataka: Podaci se neće dostavljati trećim stranama, osim po zakonskoj obavezi.
  5. Pohrana podataka: Baza podataka koju hostuje Occentus Networks (EU)
  6. Prava: U bilo kojem trenutku možete ograničiti, oporaviti i izbrisati svoje podatke.

  1.   ja rekao je
    čini 2 godina

    i da morate dati prethodne root dozvole da biste ga mogli instalirati, zar ne?

    Odgovori na ja