कल ही हमने एक लेख प्रकाशित किया था जिसमें हमने बताया था कि उनके पास था GRUB में निश्चित 7 कमजोरियां लिनक्स का। और यह है कि हम इसके अभ्यस्त नहीं हैं या बस गलत हैं: निश्चित रूप से लिनक्स में सुरक्षा खामियां और वायरस हैं, जैसे कि विंडोज, मैकओएस और यहां तक कि आईओएस / आईपैड, सबसे बंद सिस्टम जो मौजूद हैं। सही प्रणाली मौजूद नहीं है, और हालांकि कुछ अधिक सुरक्षित हैं, हमारी सुरक्षा का एक हिस्सा इस तथ्य के कारण है कि हम कम बाजार हिस्सेदारी वाले ऑपरेटिंग सिस्टम का उपयोग करते हैं। लेकिन थोड़ा शून्य नहीं है, और यह दुर्भावनापूर्ण डेवलपर्स द्वारा जाना जाता है, जैसे कि जिन्होंने बनाया है सिम्बायोट.
पिछले गुरुवार को ब्लैकबेरी था जो अलार्म बजाया, हालांकि जब वह खतरे का नाम समझाने की कोशिश करता है तो वह बहुत अच्छी शुरुआत नहीं करता है। यह कहता है कि सहजीवन एक ऐसा जीव है जो दूसरे जीव के साथ सहजीवन में रहता है। अब तक हम ठीक कर रहे हैं। जो बात इतनी अच्छी नहीं है वह यह है कि जब वह कहता है कि कभी-कभी सहजीवी हो सकता है परजीवी जब यह दूसरे को लाभ और हानि पहुँचाता है, लेकिन नहीं, या एक या दूसरे को: यदि शार्क और रेमोरा की तरह दोनों को लाभ होता है, तो यह एक सहजीवन है। यदि रेमोरा ने शार्क को नुकसान पहुँचाया, तो वह स्वतः ही परजीवी बन जाएगा, लेकिन यह जीव विज्ञान वर्ग या समुद्री वृत्तचित्र नहीं है।
सिम्बायोट अन्य प्रक्रियाओं को नुकसान पहुंचाने के लिए संक्रमित करता है
ऊपर बताया गया है, सिम्बायोट एक परजीवी से अधिक नहीं हो सकता है। उसका नाम आना चाहिए, शायद, उसी से हम आपकी उपस्थिति को नोटिस नहीं करते हैं. हो सकता है कि हम किसी संक्रमित कंप्यूटर को देखे बिना उसका उपयोग कर रहे हों, लेकिन अगर हम इसे नोटिस नहीं करते हैं और यह हमसे डेटा चुरा रहा है, तो यह हमें नुकसान पहुंचा रहा है, इसलिए "सहजीवन" संभव नहीं है। ब्लैकबेरी बताते हैं:
जो चीज सिम्बायोट को अन्य लिनक्स मैलवेयर से अलग बनाती है जिसका हम आमतौर पर सामना करते हैं, वह यह है कि संक्रमित मशीनों को नुकसान पहुंचाने के लिए इसे अन्य चल रही प्रक्रियाओं को संक्रमित करने की आवश्यकता होती है। मशीन को संक्रमित करने के लिए चलाई जाने वाली स्टैंड-अलोन निष्पादन योग्य फ़ाइल होने के बजाय, यह एक साझा ऑब्जेक्ट (OS) लाइब्रेरी है जो LD_PRELOAD (T1574.006) का उपयोग करके सभी चल रही प्रक्रियाओं में खुद को लोड करती है, और मशीन को परजीवी रूप से संक्रमित करती है। एक बार जब यह सभी चल रही प्रक्रियाओं को संक्रमित कर देता है, तो यह खतरे के अभिनेता को रूटकिट कार्यक्षमता, क्रेडेंशियल एकत्र करने की क्षमता और रिमोट एक्सेस क्षमता प्रदान करता है।
नवंबर 2021 में इसका पता चला था
ब्लैकबेरी ने पहली बार सिम्बायोट को नवंबर 2021 में देखा था, और यह ऐसा दिखता है उनका गंतव्य लैटिन अमेरिका का वित्तीय क्षेत्र है. एक बार जब यह हमारे कंप्यूटर को संक्रमित कर देता है, तो यह खुद को और खतरे में इस्तेमाल होने वाले किसी भी अन्य मैलवेयर को छुपा देता है, जिससे संक्रमण का पता लगाना बहुत मुश्किल हो जाता है। आपकी सभी गतिविधि छिपी हुई है, जिसमें नेटवर्क गतिविधि भी शामिल है, जिससे यह जानना लगभग असंभव हो जाता है कि यह वहां है। लेकिन बुरी बात यह नहीं है कि यह है, लेकिन यह मजबूत एन्क्रिप्शन वाले पासवर्ड के साथ कंप्यूटर पर पंजीकृत किसी भी उपयोगकर्ता के रूप में खुद को पहचानने के लिए एक पिछले दरवाजे प्रदान करता है, और उच्चतम विशेषाधिकारों के साथ कमांड निष्पादित कर सकता है।
यह ज्ञात है कि इसका अस्तित्व है, लेकिन इसने बहुत कम कंप्यूटरों को संक्रमित किया है और कोई सबूत नहीं मिला है कि बहुत लक्षित या व्यापक हमलों का उपयोग किया गया है। Symbiote बर्कले पैकेट फ़िल्टर का उपयोग करता है दुर्भावनापूर्ण ट्रैफ़िक छुपाएं संक्रमित कंप्यूटर का:
जब कोई व्यवस्थापक संक्रमित मशीन पर कोई पैकेट कैप्चर टूल शुरू करता है, तो BPF बाइटकोड को कर्नेल में इंजेक्ट किया जाता है जो परिभाषित करता है कि कौन से पैकेट कैप्चर किए जाने चाहिए। इस प्रक्रिया में, सिम्बायोट पहले अपना बायटेकोड जोड़ता है ताकि वह नेटवर्क ट्रैफ़िक को फ़िल्टर कर सके जिसे वह पैकेट कैप्चर सॉफ़्टवेयर नहीं देखना चाहता।
सिम्बायोट सर्वश्रेष्ठ गोर्गोनाइट (छोटे योद्धा) के रूप में छिपा है
Symbiote को लिंकर द्वारा LD_PRELOAD के माध्यम से लोड करने के लिए डिज़ाइन किया गया है। यह इसे किसी भी अन्य साझा वस्तुओं से पहले लोड करने की अनुमति देता है। पहले लोड होने के कारण, यह एप्लिकेशन द्वारा लोड की गई अन्य लाइब्रेरी फ़ाइलों से आयात को हाईजैक कर सकता है। सहजीवन इसका उपयोग करता है अपनी उपस्थिति छुपाएं libc और libpcap में हुक करना। यदि कॉलिंग एप्लिकेशन किसी फ़ाइल या फ़ोल्डर को / proc के भीतर एक्सेस करने का प्रयास करता है, तो मैलवेयर प्रक्रिया नामों के आउटपुट को हटा देता है जो इसकी सूची में हैं। यदि यह /proc के अंदर कुछ भी एक्सेस करने का प्रयास नहीं करता है, तो यह परिणाम को फ़ाइल सूची से हटा देता है।
ब्लैकबेरी अपने लेख को यह कहते हुए समाप्त करता है कि हम एक बहुत ही मायावी मैलवेयर से निपट रहे हैं। उनका लक्ष्य साख प्राप्त करना है और संक्रमित कंप्यूटरों को पिछले दरवाजे प्रदान करते हैं। इसका पता लगाना बहुत मुश्किल है, इसलिए हम केवल यही उम्मीद कर सकते हैं कि पैच जल्द से जल्द जारी किए जाएंगे। यह ज्ञात नहीं है कि इसका अधिक उपयोग किया गया है, लेकिन यह खतरनाक है। यहां से, हमेशा की तरह, उपलब्ध होते ही सुरक्षा पैच लगाने के महत्व को याद रखें।
और आपको इसे स्थापित करने में सक्षम होने के लिए पिछली रूट अनुमतियां देने की आवश्यकता है, है ना?