Zrovna včera jsme zveřejnili článek, ve kterém jsme informovali, že měli opraveno 7 zranitelností v GRUB systému Linux. A je to tím, že na to nejsme zvyklí nebo se prostě mýlíme: v Linuxu samozřejmě existují bezpečnostní chyby a viry, stejně jako Windows, macOS a dokonce iOS/iPadOS, nejuzavřenější systémy, které existují. Dokonalý systém neexistuje, a přestože některé jsou bezpečnější, část našeho zabezpečení je způsobena tím, že používáme operační systém s malým podílem na trhu. Ale málo není nula a to vědí i zákeřní vývojáři, jako jsou ti, kteří vytvořili Symbiont.
Minulý čtvrtek to byl Blackberry zazněl poplach, i když nezačíná moc dobře, když se snaží vysvětlit název hrozby. Říká, že symbiont je organismus, který žije v symbióze s jiným organismem. Zatím se nám to daří. Co není tak dobré, je, když říká, že někdy může být symbiont parazitický když to druhému prospívá a škodí, ale ne, nebo jednomu nebo druhému: pokud obojí prospívá, jako žralok a remora, jde o symbiózu. Pokud by remora žralokovi ublížila, stal by se automaticky parazitem, ale nejedná se o hodinu biologie ani o námořní dokument.
Symbiote infikuje další procesy, aby způsobil poškození
Vysvětleno výše, Symbiote nemůže být víc než parazit. Jeho jméno možná pochází z toho nevnímáme vaši přítomnost. Mohli bychom používat infikovaný počítač, aniž bychom si toho všimli, ale pokud si toho nevšimneme a krade nám data, škodí nám, takže k žádné „symbióze“ nedochází. Blackberry vysvětluje:
Symbiote se liší od ostatního linuxového malwaru, se kterým se obvykle setkáváme, že potřebuje infikovat další běžící procesy, aby mohl způsobit poškození infikovaných počítačů. Spíše než o samostatný spustitelný soubor, který se spouští za účelem infikování počítače, jde o knihovnu sdílených objektů (OS), která se načte do všech běžících procesů pomocí LD_PRELOAD (T1574.006) a paraziticky infikuje počítač. Jakmile infikuje všechny běžící procesy, poskytne aktérovi hrozby funkci rootkit, možnost shromažďovat přihlašovací údaje a možnost vzdáleného přístupu.
Bylo zjištěno v listopadu 2021
Blackberry poprvé spatřilo Symbiote v listopadu 2021 a vypadá to jejich cílem je finanční sektor Latinské Ameriky. Jakmile infikuje náš počítač, skryje sebe a jakýkoli další malware používaný hrozbou, takže je velmi obtížné odhalit infekce. Veškerá vaše aktivita je skryta, včetně síťové aktivity, takže je téměř nemožné poznat, že tam je. Ale špatná věc není v tom, že tomu tak je, ale v tom, že poskytuje zadní vrátka, aby se identifikoval jako jakýkoli uživatel registrovaný v počítači pomocí hesla se silným šifrováním a může provádět příkazy s nejvyššími oprávněními.
Je známo, že existuje, ale infikovalo velmi málo počítačů a nebyly nalezeny žádné důkazy o použití velmi cílených nebo širokých útoků. Symbiote k tomu používá Berkeley Packet Filter skrýt škodlivý provoz infikovaného počítače:
Když administrátor spustí jakýkoli nástroj pro zachytávání paketů na infikovaném počítači, do jádra se vloží bajtový kód BPF, který definuje, které pakety mají být zachyceny. V tomto procesu Symbiote nejprve přidá svůj bajtový kód, aby mohl filtrovat síťový provoz, který nechce, aby software pro zachytávání paketů viděl.
Symbiote se skrývá jako nejlepší Gorgonite (malí bojovníci)
Symbiote je navržen tak, aby byl načten linkerem přes LD_PRELOAD. To mu umožňuje načíst dříve, než jakékoli jiné sdílené objekty. Při dřívějším načtení může unést importy z jiných souborů knihovny načtených aplikací. Symbiot toho využívá skrývat jejich přítomnost připojení k libc a libpcap. Pokud se volající aplikace pokusí o přístup k souboru nebo složce v /proc, malware odstraní výstup názvů procesů, které jsou na jejím seznamu. Pokud se nepokusí o přístup k ničemu uvnitř /proc, odstraní výsledek ze seznamu souborů.
Blackberry končí svůj článek slovy, že máme co do činění s velmi nepolapitelným malwarem. Jejich cílem je získat pověření a poskytují zadní vrátka infikovaným počítačům. Je velmi obtížné to odhalit, takže jediné, v co můžeme doufat, je, že záplaty budou vydány co nejdříve. Není známo, že by se příliš používal, ale je nebezpečný. Odtud jako vždy pamatujte na důležitost použití bezpečnostních záplat, jakmile jsou k dispozici.
a že je potřeba udělit předchozí oprávnění root, abyste to mohli nainstalovat, ne?