Symbiote, uusi, vaarallinen ja salakavala virus, joka vaikuttaa Linuxiin

Pablinux

1 Kommentti

symbiootti

Juuri eilen julkaisimme artikkelin, jossa kerroimme, että heillä oli korjattu 7 haavoittuvuutta GRUBissa Linuxista. Ja se johtuu siitä, että emme ole tottuneet siihen tai yksinkertaisesti väärässä: Linuxissa, kuten Windowsissa, macOS:ssä ja jopa iOS/iPadOS:ssä, suljetuimmissa järjestelmissä, on tietysti tietoturvavirheitä ja viruksia. Täydellistä järjestelmää ei ole olemassa, ja vaikka jotkut ovat turvallisempia, osa turvallisuudestamme johtuu siitä, että käytämme käyttöjärjestelmää, jolla on pieni markkinaosuus. Mutta pieni ei ole nolla, ja tämän tietävät haitalliset kehittäjät, kuten ne, jotka ovat luoneet symbiootti.

Se oli Blackberry viime torstaina soitti hälytystä, vaikka hän ei aloita kovin hyvin, kun hän yrittää selittää uhan nimeä. Siinä sanotaan, että symbiontti on organismi, joka elää symbioosissa toisen organismin kanssa. Toistaiseksi meillä menee hyvin. Se ei ole niin hyvä, kun hän sanoo, että joskus symbiootti voi olla loistaudit kun se hyödyttää ja vahingoittaa toista, mutta ei tai jompaakumpaa: jos molemmat hyötyvät, kuten hai ja remora, se on symbioosi. Jos remora vahingoittaa haita, siitä tulisi automaattisesti loinen, mutta tämä ei ole biologian luokka tai meridokumentti.

Symbiote saastuttaa muita prosesseja aiheuttaen vahinkoa

Selitetty edellä, Symbiote ei voi olla muuta kuin loinen. Hänen nimensä on ehkä peräisin siitä emme huomaa läsnäoloasi. Saatamme käyttää tartunnan saaneita tietokoneita huomaamattamme sitä, mutta jos emme huomaa sitä ja se varastaa meiltä tietoja, se vahingoittaa meitä, joten ei ole mahdollista "symbioosia". Blackberry selittää:

Symbiote eroaa muista Linux-haittaohjelmista, joita tavallisesti kohtaamme, on se, että sen on tartuttava muihin käynnissä oleviin prosesseihin vahingoittaakseen tartunnan saaneita koneita. Sen sijaan, että se olisi erillinen suoritettava tiedosto, jota ajetaan saastuttamaan konetta, se on jaettu objektikirjasto (OS), joka lataa itsensä kaikkiin käynnissä oleviin prosesseihin LD_PRELOAD-komennolla (T1574.006) ja saastuttaa koneen loismuodossa. Kun se on tartuttanut kaikki käynnissä olevat prosessit, se tarjoaa uhkatoimijalle rootkit-toiminnallisuuden, mahdollisuuden kerätä tunnistetietoja ja etäkäyttöominaisuuden.

Se havaittiin marraskuussa 2021

Blackberry huomasi Symbioten ensimmäisen kerran marraskuussa 2021, ja se näyttää siltä niiden kohde on Latinalaisen Amerikan rahoitussektori. Kun se on tartuttanut tietokoneeseemme, se piilottaa itsensä ja kaikki muut uhan käyttämät haittaohjelmat, mikä tekee tartuntojen havaitsemisesta erittäin vaikeaa. Kaikki toimintasi on piilotettu, mukaan lukien verkkotoiminta, joten on lähes mahdotonta tietää, että se on siellä. Mutta huono asia ei ole se, että se on, vaan se, että se tarjoaa takaoven tunnistaa itsensä keneksi tahansa käyttäjäksi, joka on rekisteröitynyt tietokoneeseen vahvalla salauksella ja joka voi suorittaa komentoja korkeimmilla oikeuksilla.

Sen tiedetään olevan olemassa, mutta se on tartuttanut hyvin harvoja tietokoneita, eikä ole löydetty todisteita siitä, että erittäin kohdennettuja tai laajoja hyökkäyksiä olisi käytetty. Symbiote käyttää Berkeley-pakettisuodatinta piilottaa haitallinen liikenne tartunnan saaneesta tietokoneesta:

Kun järjestelmänvalvoja käynnistää minkä tahansa pakettien sieppaustyökalun tartunnan saaneessa koneessa, BPF-tavukoodi ruiskutetaan ytimeen, joka määrittää, mitkä paketit tulee siepata. Tässä prosessissa Symbiote lisää ensin tavukoodinsa, jotta se voi suodattaa verkkoliikennettä, jota se ei halua pakettien sieppausohjelmiston näkevän.

Symbiote piiloutuu parhaana gorgoniittina (pienet soturit)

Symbiote on suunniteltu ladattavaksi linkkerillä LD_PRELOAD:n kautta. Tämä mahdollistaa sen lataamisen ennen muita jaettuja objekteja. Kun se ladataan aikaisemmin, se voi kaapata tuontia muista sovelluksen lataamista kirjastotiedostoista. Symbiootti käyttää tätä piilottaa läsnäolonsa yhdistäminen libc:hen ja libpcapiin. Jos kutsuva sovellus yrittää käyttää tiedostoa tai kansiota /proc-hakemistossa, haittaohjelma poistaa sen luettelossa olevien prosessinimien tulosteen. Jos se ei yritä käyttää mitään /proc sisällä, se poistaa tuloksen tiedostoluettelosta.

Blackberry lopettaa artikkelinsa sanomalla, että kyseessä on erittäin vaikeasti havaittava haittaohjelma. Heidän tavoitteena on saada valtuustiedot ja tarjota takaoven tartunnan saaneille tietokoneille. Sitä on erittäin vaikea havaita, joten voimme toivoa vain, että korjaustiedostot julkaistaan ​​mahdollisimman pian. Sitä ei tiedetä paljoa käyttäneen, mutta se on vaarallinen. Tästä lähtien, kuten aina, muista, kuinka tärkeää on asentaa tietoturvakorjaukset heti, kun ne ovat saatavilla.


Kommentti, jätä sinun

Jätä kommentti

Sähköpostiosoitettasi ei julkaista. Pakolliset kentät on merkitty *

*

*

  1. Vastaa tiedoista: AB Internet Networks 2008 SL
  2. Tietojen tarkoitus: Roskapostin hallinta, kommenttien hallinta.
  3. Laillistaminen: Suostumuksesi
  4. Tietojen välittäminen: Tietoja ei luovuteta kolmansille osapuolille muutoin kuin lain nojalla.
  5. Tietojen varastointi: Occentus Networks (EU) isännöi tietokantaa
  6. Oikeudet: Voit milloin tahansa rajoittaa, palauttaa ja poistaa tietojasi.

  1.   ja dijo
    sitten 2 vuotta

    ja että sinun on annettava aikaisemmat pääkäyttäjän oikeudet voidaksesi asentaa sen, eikö niin?

    Vastaa ja