Symbiote, novi, opasan i skriven virus koji utječe na Linux

Pablinux

4 minuta

simbiot

Baš smo jučer objavili članak u kojem smo izvijestili da jesu popravljeno 7 ranjivosti u GRUB-u Linuxa. A to je da nismo navikli na to ili jednostavno nismo u pravu: naravno da u Linuxu postoje sigurnosne propuste i virusi, kao što su Windows, macOS, pa čak i iOS/iPadOS, najzatvoreniji sustavi koji postoje. Savršen sustav ne postoji, a iako su neki sigurniji, dio naše sigurnosti je zbog činjenice da koristimo operativni sustav s malim tržišnim udjelom. Ali malo nije nula, a to znaju zlonamjerni programeri poput onih koji su stvarali simbiot.

Bio je to Blackberry prošli četvrtak koji oglasio alarm, iako ne počinje baš dobro kada pokušava objasniti naziv prijetnje. Kaže da je simbiont organizam koji živi u simbiozi s drugim organizmom. Zasad nam ide dobro. Ono što nije tako dobro je kad kaže da ponekad može biti i simbiot parazitski kada koristi i šteti drugome, ali ne, ili jednom ili drugom: ako oboje imaju koristi, kao morski pas i remora, to je simbioza. Ako bi remora naštetila morskom psu, onda bi on automatski postao parazit, ali ovo nije sat biologije ili dokumentarni film o moru.

Symbiote inficira druge procese i uzrokuje štetu

Objašnjeno gore, Symbiote ne može biti više od parazita. Njegovo ime mora da potječe, možda, odatle ne primjećujemo vašu prisutnost. Mogli bismo koristiti zaraženo računalo, a da to ne primijetimo, ali ako to ne primijetimo i krade nam podatke, šteti nam, tako da nema moguće "simbioze". Blackberry objašnjava:

Ono po čemu se Symbiote razlikuje od ostalih zlonamjernih programa za Linux s kojima se obično susrećemo je to što mora zaraziti druge pokrenute procese kako bi nanio štetu zaraženim strojevima. Umjesto da bude samostalna izvršna datoteka koja se pokreće za zarazu stroja, to je biblioteka zajedničkih objekata (OS) koja se učitava u sve pokrenute procese koristeći LD_PRELOAD (T1574.006) i parazitski inficira stroj. Nakon što zarazi sve pokrenute procese, pruža akteru prijetnje funkcionalnost rootkita, mogućnost prikupljanja vjerodajnica i mogućnost daljinskog pristupa.

Otkrivena je u studenom 2021

Blackberry je Symbiote prvi put uočio u studenom 2021. i izgleda tako odredište im je financijski sektor Latinske Amerike. Nakon što zarazi naše računalo, skriva sebe i sve druge zlonamjerne programe koje koristi prijetnja, što otežava otkrivanje infekcija. Sva vaša aktivnost je skrivena, uključujući mrežnu aktivnost, zbog čega je gotovo nemoguće znati da je tu. Ali loša stvar nije u tome što jest, već u tome što pruža backdoor da se identificira kao bilo koji korisnik registriran na računalu sa lozinkom sa jakom enkripcijom i može izvršavati naredbe s najvišim privilegijama.

Poznato je da postoji, ali je zarazio vrlo malo računala i nisu pronađeni dokazi da su korišteni vrlo ciljani ili široki napadi. Symbiote koristi Berkeley paketni filtar za sakriti zlonamjerni promet zaraženog računala:

Kada administrator pokrene bilo koji alat za hvatanje paketa na zaraženom stroju, BPF bajt kod se ubrizgava u kernel koji definira koji paketi trebaju biti zarobljeni. U ovom procesu Symbiote prvo dodaje svoj bajt kod kako bi mogao filtrirati mrežni promet koji ne želi da vidi softver za hvatanje paketa.

Simbiot se skriva kao najbolji Gorgonite (mali ratnici)

Symbiote je dizajniran da ga učitava povezivač putem LD_PRELOAD. To mu omogućuje učitavanje prije svih drugih zajedničkih objekata. Kad se učita ranije, može oteti uvoze iz drugih datoteka biblioteke koje je učitala aplikacija. Simbiot to koristi za sakriti svoju prisutnost spajanje na libc i libpcap. Ako pozivajuća aplikacija pokuša pristupiti datoteci ili mapi unutar /proc, zlonamjerni softver uklanja izlaz imena procesa koji se nalaze na njenom popisu. Ako ne pokuša pristupiti ničemu unutar /proc, tada uklanja rezultat s popisa datoteka.

Blackberry završava svoj članak govoreći da imamo posla s vrlo neuhvatljivim zlonamjernim softverom. Njihova cilj je dobiti vjerodajnice i osigurati backdoor zaraženim računalima. Jako ga je teško detektirati, pa se jedino čemu možemo nadati je da će zakrpe biti puštene u prodaju što je prije moguće. Nije poznato da se puno koristio, ali je opasan. Odavde, kao i uvijek, zapamtite važnost primjene sigurnosnih zakrpa čim postanu dostupne.


Ostavite svoj komentar

Vaša email adresa neće biti objavljen. Obavezna polja su označena s *

*

*

  1. Odgovoran za podatke: AB Internet Networks 2008 SL
  2. Svrha podataka: Kontrola neželjene pošte, upravljanje komentarima.
  3. Legitimacija: Vaš pristanak
  4. Komunikacija podataka: Podaci se neće dostavljati trećim stranama, osim po zakonskoj obvezi.
  5. Pohrana podataka: Baza podataka koju hostira Occentus Networks (EU)
  6. Prava: U bilo kojem trenutku možete ograničiti, oporaviti i izbrisati svoje podatke.

  1.   ja dijo
    zec 2 godina

    i da morate dati prethodne root dozvole da biste ga mogli instalirati, zar ne?

    Odgovorite ja