Éppen tegnap publikáltunk egy cikket, amelyben beszámoltunk arról, hogy megvoltak 7 sérülékenységet javított ki a GRUB-ban a Linuxról. És ez az, hogy nem vagyunk hozzászokva, vagy egyszerűen tévedünk: természetesen vannak biztonsági hibák és vírusok a Linuxban, akárcsak a Windowsban, a macOS-ben és még az iOS/iPadOS-ben is, a létező legzártabb rendszerekben. Tökéletes rendszer nem létezik, és bár egyesek biztonságosabbak, a biztonságunk egy része annak köszönhető, hogy kevés piaci részesedéssel rendelkező operációs rendszert használunk. De a kevés nem nulla, és ezt az olyan rosszindulatú fejlesztők is tudják, mint azok, akik létrehoztak Szimbiota.
Blackberry volt az, aki múlt csütörtökön megkongatta a riasztót, bár nem nagyon kezdi, amikor megpróbálja megmagyarázni a fenyegetés nevét. Azt mondja, hogy a szimbionta olyan organizmus, amely szimbiózisban él egy másik szervezettel. Eddig jól állunk. Ami nem olyan jó, ha azt mondja, hogy néha szimbióta is lehet parazita amikor hasznot hoz és árt a másiknak, de nem, vagy egyiknek vagy másiknak: ha mindkettő hasznot húz, mint a cápa és a remora, az szimbiózis. Ha a remora károsítja a cápát, akkor automatikusan parazitává válna, de ez nem biológia óra vagy tengeri dokumentumfilm.
A szimbióta más folyamatokat is megfertőz, hogy kárt okozzon
A fentiek alapján a Symbiote nem lehet több, mint egy parazita. A neve talán innen eredhet nem vesszük észre a jelenlétedet. Lehet, hogy anélkül használunk egy fertőzött számítógépet, hogy észre sem vesszük, de ha nem vesszük észre, és adatokat lop tőlünk, az árt nekünk, így nincs lehetséges "szimbiózis". Blackberry elmagyarázza:
A Symbiote abban különbözik a többi Linux rosszindulatú programtól, amellyel gyakran találkozunk, hogy meg kell fertőznie más futó folyamatokat, hogy kárt okozzon a fertőzött gépeken. Ahelyett, hogy egy önálló végrehajtható fájl lenne, amely a számítógép megfertőzésére fut, hanem egy megosztott objektum (OS) könyvtár, amely az LD_PRELOAD (T1574.006) használatával betölti magát az összes futó folyamatba, és parazita módon megfertőzi a gépet. Miután megfertőzte az összes futó folyamatot, rootkit funkciókat, hitelesítő adatok gyűjtését és távoli hozzáférési képességet biztosít a fenyegetés szereplőjének.
2021 novemberében észlelték
A Blackberry először 2021 novemberében észlelte a Symbiote-ot, és úgy néz ki úti céljuk Latin-Amerika pénzügyi szektora. Miután megfertőzte a számítógépünket, elrejti magát és a fenyegetés által használt egyéb rosszindulatú programokat, ami nagyon megnehezíti a fertőzések észlelését. Minden tevékenysége el van rejtve, beleértve a hálózati tevékenységeket is, így szinte lehetetlen megállapítani, hogy ott van. De nem az a rossz, hogy így van, hanem az, hogy egy hátsó ajtót biztosít arra, hogy azonosítsa magát a számítógépen erős titkosítású jelszóval regisztrált felhasználóként, és a legmagasabb jogosultságokkal tudja végrehajtani a parancsokat.
Ismeretes, hogy létezik, de nagyon kevés számítógépet fertőzött meg, és nem találtak bizonyítékot arra, hogy nagyon célzott vagy széles körű támadásokat alkalmaztak volna. A Symbiote a Berkeley csomagszűrőt használja elrejteni a rosszindulatú forgalmat a fertőzött számítógépről:
Amikor egy rendszergazda elindít egy csomagrögzítő eszközt a fertőzött gépen, a rendszer BPF bájtkódot injektál a kernelbe, amely meghatározza, hogy mely csomagokat kell rögzíteni. Ebben a folyamatban a Symbiote először hozzáadja a bájtkódját, hogy ki tudja szűrni a hálózati forgalmat, amelyet nem akar, hogy a csomagrögzítő szoftver lássa.
A szimbióta a legjobb gorgonitként bújik meg (kis harcosok)
A Symbiote-ot úgy tervezték, hogy a linker az LD_PRELOAD-on keresztül töltse be. Ez lehetővé teszi, hogy minden más megosztott objektum előtt betöltődik. Korábban betöltve eltérítheti az alkalmazás által betöltött más könyvtárfájlok importját. A szimbióta ezt használja fel elrejteni a jelenlétüket a libc-be és a libpcap-be kapcsolva. Ha a hívó alkalmazás megpróbál hozzáférni egy fájlhoz vagy mappához a /proc alatt, a rosszindulatú program eltávolítja a listán szereplő folyamatnevek kimenetét. Ha nem próbál meg semmit elérni a /proc-ban, akkor eltávolítja az eredményt a fájllistából.
A Blackberry azzal fejezi be cikkét, hogy egy nagyon megfoghatatlan rosszindulatú programmal van dolgunk. Az övék a cél a hitelesítő adatok megszerzése és hátsó ajtót biztosítanak a fertőzött számítógépeknek. Nagyon nehéz felismerni, így csak abban reménykedhetünk, hogy a javítások mielőbb megjelennek. Nem ismert, hogy sokat használták, de veszélyes. Innentől kezdve, mint mindig, ne feledje, milyen fontos a biztonsági javítások azonnali alkalmazása, amint azok elérhetővé válnak.
és hogy meg kell adni a korábbi root jogosultságokat a telepítéshez, igaz?