Symbiote, ein neuer, gefährlicher und heimlicher Virus, der Linux befällt

Pablinux

4 Minuten

Symbiont

Erst gestern haben wir einen Artikel veröffentlicht, in dem wir darüber berichteten 7 Sicherheitslücken in GRUB behoben von Linux. Und wir sind es nicht gewohnt oder einfach falsch: Natürlich gibt es Sicherheitslücken und Viren in Linux, wie in Windows, macOS und sogar iOS/iPadOS, den geschlossensten Systemen, die es gibt. Das perfekte System gibt es nicht, und obwohl einige sicherer sind, beruht ein Teil unserer Sicherheit auf der Tatsache, dass wir ein Betriebssystem mit geringem Marktanteil verwenden. Aber wenig ist nicht null, und das wissen böswillige Entwickler wie diejenigen, die erstellt haben Symbiont.

Es war Blackberry letzten Donnerstag, der schlug Alarm, obwohl er nicht sehr gut anfängt, wenn er versucht, den Namen der Bedrohung zu erklären. Es besagt, dass ein Symbiont ein Organismus ist, der in Symbiose mit einem anderen Organismus lebt. Bisher geht es uns gut. Was nicht so gut ist, ist, wenn er sagt, dass manchmal ein Symbiont sein kann parasitär wenn es dem anderen nützt und schadet, aber nicht, oder dem einen oder anderen: wenn beide profitieren, wie der Hai und der Schiffshalter, ist es eine Symbiose. Wenn die Schiffshalter dem Hai schaden würden, würde er automatisch zu einem Parasiten werden, aber dies ist kein Biologieunterricht oder eine Meeresdokumentation.

Symbiote infiziert andere Prozesse, um Schaden zu verursachen

Erklärt oben, kann Symbiote nicht mehr als ein Parasit sein. Vielleicht kommt sein Name daher wir bemerken deine Anwesenheit nicht. Wir könnten einen infizierten Computer benutzen, ohne es zu bemerken, aber wenn wir es nicht bemerken und es Daten von uns stiehlt, schadet es uns, also gibt es keine mögliche „Symbiose“. Blackberry erklärt:

Was Symbiote von anderer Linux-Malware unterscheidet, auf die wir normalerweise stoßen, ist, dass sie andere laufende Prozesse infizieren muss, um infizierten Computern Schaden zuzufügen. Anstatt eine eigenständige ausführbare Datei zu sein, die ausgeführt wird, um einen Computer zu infizieren, handelt es sich um eine Shared Object (OS)-Bibliothek, die sich mithilfe von LD_PRELOAD (T1574.006) in alle laufenden Prozesse lädt und den Computer parasitär infiziert. Sobald es alle laufenden Prozesse infiziert hat, bietet es dem Angreifer Rootkit-Funktionalität, die Möglichkeit, Anmeldeinformationen zu sammeln, und Fernzugriffsfunktionen.

Es wurde im November 2021 entdeckt

Blackberry hat Symbiote erstmals im November 2021 entdeckt, und es sieht so aus Ihr Ziel ist der Finanzsektor Lateinamerikas. Sobald es unseren Computer infiziert hat, versteckt es sich selbst und jede andere Malware, die von der Bedrohung verwendet wird, was es sehr schwierig macht, Infektionen zu erkennen. Alle Ihre Aktivitäten, einschließlich der Netzwerkaktivität, sind verborgen, sodass es fast unmöglich ist, sie zu erkennen. Aber das Schlimme ist nicht, dass es so ist, sondern dass es eine Hintertür bietet, um sich als jeder Benutzer zu identifizieren, der auf dem Computer mit einem Passwort mit starker Verschlüsselung registriert ist, und Befehle mit den höchsten Privilegien ausführen kann.

Es ist bekannt, dass es existiert, aber es hat nur sehr wenige Computer infiziert, und es wurden keine Beweise dafür gefunden, dass sehr gezielte oder breit angelegte Angriffe verwendet wurden. Symbiote verwendet dazu Berkeley Packet Filter bösartigen Datenverkehr verbergen des infizierten Computers:

Wenn ein Administrator ein Paketerfassungstool auf dem infizierten Computer startet, wird BPF-Bytecode in den Kernel eingefügt, der definiert, welche Pakete erfasst werden sollen. Bei diesem Vorgang fügt Symbiote zunächst seinen Bytecode hinzu, damit es den Netzwerkverkehr filtern kann, den die Paketerfassungssoftware nicht sehen soll.

Symbiote verbirgt sich als bester Gorgonit (kleine Krieger)

Symbiote ist so konzipiert, dass es vom Linker über LD_PRELOAD geladen wird. Dadurch kann es vor allen anderen gemeinsam genutzten Objekten geladen werden. Da es früher geladen wird, kann es Importe aus anderen Bibliotheksdateien entführen, die von der Anwendung geladen wurden. Der Symbionte nutzt dies, um verbergen ihre Anwesenheit Einhängen in libc und libpcap. Wenn die aufrufende Anwendung versucht, auf eine Datei oder einen Ordner in /proc zuzugreifen, entfernt die Malware die Ausgabe der Prozessnamen, die sich auf ihrer Liste befinden. Wenn es nicht versucht, auf irgendetwas innerhalb von /proc zuzugreifen, entfernt es das Ergebnis aus der Dateiliste.

Blackberry beendet seinen Artikel mit der Aussage, dass wir es mit einer sehr schwer fassbaren Malware zu tun haben. Ihr Ziel ist es, Anmeldeinformationen zu erhalten und bieten infizierten Computern eine Hintertür. Es ist sehr schwer zu erkennen, daher können wir nur hoffen, dass die Patches so schnell wie möglich veröffentlicht werden. Es ist nicht bekannt, dass es viel verwendet wurde, aber es ist gefährlich. Denken Sie von hier aus wie immer daran, wie wichtig es ist, Sicherheitspatches anzuwenden, sobald sie verfügbar sind.


Hinterlasse einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert mit *

*

*

  1. Verantwortlich für die Daten: AB Internet Networks 2008 SL
  2. Zweck der Daten: Kontrolle von SPAM, Kommentarverwaltung.
  3. Legitimation: Ihre Zustimmung
  4. Übermittlung der Daten: Die Daten werden nur durch gesetzliche Verpflichtung an Dritte weitergegeben.
  5. Datenspeicherung: Von Occentus Networks (EU) gehostete Datenbank
  6. Rechte: Sie können Ihre Informationen jederzeit einschränken, wiederherstellen und löschen.

  1.   ja sagte
    vor 2-jährige

    und dass Sie vorherige Root-Berechtigungen erteilen müssen, um es installieren zu können, richtig?

    Antworte auf ja