Symbiote, en ny, farlig og snigende virus, der påvirker Linux

Pablinux

4 minutter

symbiote

I går offentliggjorde vi en artikel, hvori vi rapporterede, at de havde rettet 7 sårbarheder i GRUB af Linux. Og det er, at vi ikke er vant til det eller simpelthen tager fejl: selvfølgelig er der sikkerhedsfejl og virus i Linux, som i Windows, macOS og endda iOS/iPadOS, de mest lukkede systemer, der findes. Det perfekte system findes ikke, og selvom nogle er mere sikre, skyldes en del af vores sikkerhed, at vi bruger et styresystem med en lille markedsandel. Men lidt er ikke nul, og dette er kendt af ondsindede udviklere som dem, der har skabt symbiote.

Det var Blackberry i torsdags, der slog alarm, selvom han ikke starter særlig godt, når han forsøger at forklare navnet på truslen. Det siger, at en symbiont er en organisme, der lever i symbiose med en anden organisme. Indtil videre har vi det godt. Hvad der ikke er så godt er, når han siger, at nogle gange kan en symbiote være det parasitisk når det gavner og skader den anden, men ikke, eller det ene eller det andet: hvis begge gavner, som hajen og remoraen, er det en symbiose. Hvis remoraen skadede hajen, ville den automatisk blive en parasit, men dette er ikke en biologitime eller en marin dokumentar.

Symbiote inficerer andre processer for at forårsage skade

Forklaret ovenstående, kan Symbiote ikke være mere end en parasit. Hans navn må måske komme deraf vi bemærker ikke din tilstedeværelse. Vi kunne bruge en inficeret computer uden at bemærke det, men hvis vi ikke bemærker det, og det stjæler data fra os, skader det os, så der er ingen mulig "symbiose". Blackberry forklarer:

Det, der gør Symbiote anderledes end anden Linux-malware, vi ofte støder på, er, at den skal inficere andre kørende processer for at påføre skade på inficerede maskiner. I stedet for at være en selvstændig eksekverbar fil, der køres for at inficere en maskine, er det et shared object (OS) bibliotek, der indlæser sig selv i alle kørende processer ved hjælp af LD_PRELOAD (T1574.006), og parasitisk inficerer maskinen. Når den først har inficeret alle kørende processer, giver den trusselsaktøren rootkit-funktionalitet, muligheden for at indsamle legitimationsoplysninger og fjernadgang.

Det blev opdaget i november 2021

Blackberry opdagede Symbiote første gang i november 2021, og det ser ud til deres destination er den finansielle sektor i Latinamerika. Når den først har inficeret vores computer, skjuler den sig selv og enhver anden malware, der bruges af truslen, hvilket gør det meget vanskeligt at opdage infektioner. Al din aktivitet er skjult, inklusive netværksaktivitet, hvilket gør det næsten umuligt at vide, at den er der. Men det dårlige er ikke, at det er det, men at det giver en bagdør til at identificere sig selv som enhver bruger, der er registreret på computeren med en adgangskode med stærk kryptering, og kan udføre kommandoer med de højeste privilegier.

Det vides at eksistere, men det har inficeret meget få computere, og der er ikke fundet beviser for, at der er blevet brugt meget målrettede eller brede angreb. Symbiote bruger Berkeley Packet Filter til skjule ondsindet trafik af den inficerede computer:

Når en administrator starter et pakkeopsamlingsværktøj på den inficerede maskine, injiceres BPF-bytekode i kernen, der definerer, hvilke pakker der skal fanges. I denne proces tilføjer Symbiote først sin bytekode, så den kan filtrere netværkstrafik, som den ikke ønsker, at pakkeopsamlingssoftware skal se.

Symbiote gemmer sig som den bedste Gorgonite (små krigere)

Symbiote er designet til at blive indlæst af linkeren via LD_PRELOAD. Dette gør det muligt at indlæse før andre delte objekter. Ved at blive indlæst tidligere, kan den kapre importer fra andre biblioteksfiler indlæst af applikationen. Symbioten bruger dette til skjule deres tilstedeværelse tilsluttes libc og libpcap. Hvis det kaldende program forsøger at få adgang til en fil eller mappe i /proc, fjerner malwaren outputtet af procesnavnene, der er på dens liste. Hvis den ikke forsøger at få adgang til noget inde i /proc, så fjerner den resultatet fra fillisten.

Blackberry afslutter sin artikel med at sige, at vi har at gøre med en meget undvigende malware. Deres Målet er at få legitimationsoplysninger og give en bagdør til inficerede computere. Det er meget svært at opdage, så det eneste, vi kan håbe på, er, at patcherne bliver frigivet så hurtigt som muligt. Det vides ikke at have været brugt meget, men det er farligt. Herfra skal du som altid huske vigtigheden af ​​at anvende sikkerhedsrettelser, så snart de er tilgængelige.


Efterlad din kommentar

Din e-mailadresse vil ikke blive offentliggjort. Obligatoriske felter er markeret med *

*

*

  1. Ansvarlig for data: AB Internet Networks 2008 SL
  2. Formålet med dataene: Control SPAM, management af kommentarer.
  3. Legitimering: Dit samtykke
  4. Kommunikation af dataene: Dataene vil ikke blive kommunikeret til tredjemand, undtagen ved juridisk forpligtelse.
  5. Datalagring: Database hostet af Occentus Networks (EU)
  6. Rettigheder: Du kan til enhver tid begrænse, gendanne og slette dine oplysninger.

  1.   ja sagde han
    siden 2 år

    og at du skal give tidligere root-tilladelser for at kunne installere det, ikke?

    Svar på ja