Symbiote, un nouveau virus dangereux et furtif qui affecte Linux

symbiote

Pas plus tard qu'hier, nous avons publié un article dans lequel nous rapportions qu'ils avaient correction de 7 vulnérabilités dans GRUB de Linux. Et c'est que nous n'y sommes pas habitués ou simplement mal : bien sûr il y a des failles de sécurité et des virus dans Linux, comme dans Windows, macOS et même iOS/iPadOS, les systèmes les plus fermés qui existent. Le système parfait n'existe pas, et bien que certains soient plus sécurisés, une partie de notre sécurité est due au fait que nous utilisons un système d'exploitation avec peu de part de marché. Mais peu n'est pas nul, et cela est connu des développeurs malveillants comme ceux qui ont créé symbiote.

C'est Blackberry jeudi dernier qui sonné l'alarme, bien qu'il ne commence pas très bien lorsqu'il essaie d'expliquer le nom de la menace. Il dit qu'un symbiote est un organisme qui vit en symbiose avec un autre organisme. Jusqu'à présent, nous allons bien. Ce qui n'est pas si bon, c'est quand il dit que parfois un symbiote peut être parasite quand il profite et nuit à l'autre, mais pas, ou à l'un ou à l'autre : si les deux profitent, comme le requin et le remora, c'est une symbiose. Si le remora faisait du mal au requin, il deviendrait automatiquement un parasite, mais ce n'est pas un cours de biologie ni un documentaire marin.

Symbiote infecte d'autres processus pour causer des dommages

Expliqué ce qui précède, Symbiote ne peut être qu'un parasite. Son nom doit provenir, peut-être, de ce nous ne remarquons pas votre présence. Nous pourrions utiliser un ordinateur infecté sans le remarquer, mais si nous ne le remarquons pas et qu'il nous vole des données, cela nous nuit, il n'y a donc pas de "symbiose" possible. Blackberry explique :

Ce qui différencie Symbiote des autres logiciels malveillants Linux que nous rencontrons habituellement, c'est qu'il doit infecter d'autres processus en cours d'exécution afin d'infliger des dommages aux machines infectées. Plutôt que d'être un fichier exécutable autonome exécuté pour infecter une machine, il s'agit d'une bibliothèque d'objets partagés (OS) qui se charge dans tous les processus en cours d'exécution à l'aide de LD_PRELOAD (T1574.006) et infecte la machine de manière parasite. Une fois qu'il a infecté tous les processus en cours d'exécution, il fournit à l'auteur de la menace une fonctionnalité de rootkit, la possibilité de collecter des informations d'identification et une capacité d'accès à distance.

Il a été détecté en novembre 2021

Blackberry a repéré Symbiote pour la première fois en novembre 2021, et il semble leur destination est le secteur financier de l'Amérique latine. Une fois qu'il a infecté notre ordinateur, il se cache lui-même et tout autre logiciel malveillant utilisé par la menace, ce qui rend très difficile la détection des infections. Toute votre activité est masquée, y compris l'activité réseau, ce qui rend presque impossible de savoir qu'elle est là. Mais la mauvaise chose n'est pas que c'est le cas, mais qu'il fournit une porte dérobée pour s'identifier comme n'importe quel utilisateur enregistré sur l'ordinateur avec un mot de passe avec un cryptage fort, et peut exécuter des commandes avec les privilèges les plus élevés.

Son existence est connue, mais elle a infecté très peu d'ordinateurs et aucune preuve n'a été trouvée que des attaques très ciblées ou très larges aient été utilisées. Symbiote utilise le filtre de paquets Berkeley pour masquer le trafic malveillant de l'ordinateur infecté :

Lorsqu'un administrateur démarre un outil de capture de paquets sur la machine infectée, le bytecode BPF est injecté dans le noyau qui définit les paquets à capturer. Dans ce processus, Symbiote ajoute d'abord son bytecode afin qu'il puisse filtrer le trafic réseau qu'il ne veut pas que le logiciel de capture de paquets voie.

Symbiote se cache comme la meilleure Gorgonite (petits guerriers)

Symbiote est conçu pour être chargé par le linker via LD_PRELOAD. Cela lui permet de se charger avant tout autre objet partagé. Étant chargé plus tôt, il peut détourner les importations d'autres fichiers de bibliothèque chargés par l'application. Le symbiote l'utilise pour cacher leur présence s'accrochant à libc et libpcap. Si l'application appelante tente d'accéder à un fichier ou à un dossier dans /proc, le logiciel malveillant supprime la sortie des noms de processus figurant sur sa liste. S'il n'essaie pas d'accéder à quoi que ce soit dans /proc, il supprime le résultat de la liste des fichiers.

Blackberry termine son article en disant que nous avons affaire à un malware très insaisissable. Leur le but c'est d'avoir des identifiants et fournir une porte dérobée aux ordinateurs infectés. Il est très difficile à détecter, donc la seule chose que nous pouvons espérer est que les correctifs seront publiés dès que possible. On ne sait pas qu'il a été beaucoup utilisé, mais il est dangereux. À partir de là, comme toujours, rappelez-vous l'importance d'appliquer les correctifs de sécurité dès qu'ils sont disponibles.


Un commentaire, laissez le vôtre

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont marqués avec *

*

*

  1. Responsable des données : AB Internet Networks 2008 SL
  2. Finalité des données: Contrôle du SPAM, gestion des commentaires.
  3. Légitimation: votre consentement
  4. Communication des données: Les données ne seront pas communiquées à des tiers sauf obligation légale.
  5. Stockage des données: base de données hébergée par Occentus Networks (EU)
  6. Droits: à tout moment, vous pouvez limiter, récupérer et supprimer vos informations.

  1.   ja dit

    et que vous devez donner les autorisations root précédentes pour pouvoir l'installer, n'est-ce pas ?