Symbiote, jauns, bīstams un slepens vīruss, kas ietekmē Linux

Pablinux

4 Minutos

Simbiote

Tikai vakar mēs publicējām rakstu, kurā ziņojām, ka viņiem bija novērstas 7 ievainojamības GRUB no Linux. Un mēs pie tā neesam pieraduši vai vienkārši nepareizi: protams, Linux, tāpat kā Windows, macOS un pat iOS/iPadOS, visnoslēgtākajās sistēmās, ir drošības trūkumi un vīrusi. Ideāla sistēma neeksistē, un, lai gan dažas ir drošākas, daļa no mūsu drošības ir saistīta ar to, ka mēs izmantojam operētājsistēmu ar nelielu tirgus daļu. Bet maz nav nulle, un to zina tādi ļaunprātīgi izstrādātāji kā tie, kas ir radījuši Simbiote.

Tas bija Blackberry pagājušajā ceturtdienā, kurš atskanēja trauksme, lai gan viņš ne pārāk labi sāk, kad viņš mēģina izskaidrot draudu nosaukumu. Tajā teikts, ka simbionts ir organisms, kas dzīvo simbiozē ar citu organismu. Pagaidām mums iet labi. Kas nav tik labi, ja viņš saka, ka dažreiz var būt simbiots parazitāras kad tas dod labumu un kaitē otram, bet ne vai vienam vai otram: ja abi gūst labumu, piemēram, haizivs un remora, tā ir simbioze. Ja remora kaitētu haizivīm, tā automātiski kļūtu par parazītu, taču šī nav bioloģijas stunda vai jūras dokumentālā filma.

Simbiots inficē citus procesus, radot bojājumus

Izskaidrojot iepriekš minēto, Symbiote nevar būt vairāk kā parazīts. Iespējams, ka viņa vārds cēlies no tā mēs nepamanām tavu klātbūtni. Mēs varētu izmantot inficētu datoru, to nepamanot, bet, ja mēs to nepamanām un tas zog mums datus, tas mums nodara kaitējumu, tāpēc nav iespējamas "simbiozes". Blackberry paskaidro:

Symbiote atšķiras no citām Linux ļaunprātīgām programmām, ar kurām mēs parasti sastopamies, jo tai ir jāinficē citi darbojošie procesi, lai nodarītu bojājumus inficētajām mašīnām. Tā vietā, lai tas būtu atsevišķs izpildāms fails, kas tiek palaists, lai inficētu mašīnu, tā ir koplietojamo objektu (OS) bibliotēka, kas tiek ielādēta visos darbojošajos procesos, izmantojot LD_PRELOAD (T1574.006), un parazitāri inficē iekārtu. Kad tas ir inficējis visus darbojošos procesus, tas nodrošina apdraudējuma dalībnieku ar rootkit funkcionalitāti, iespēju vākt akreditācijas datus un attālās piekļuves iespējas.

Tas tika atklāts 2021. gada novembrī

Blackberry pirmo reizi pamanīja Symbiote 2021. gada novembrī, un tā izskatās to galamērķis ir Latīņamerikas finanšu sektors. Kad tas ir inficējis mūsu datoru, tas slēpj sevi un jebkuru citu apdraudējuma izmantoto ļaunprātīgo programmatūru, tādējādi ļoti sarežģījot infekciju atklāšanu. Visas jūsu darbības ir paslēptas, tostarp darbības tīklā, tāpēc ir gandrīz neiespējami zināt, ka tās atrodas. Bet sliktā lieta nav tā, ka tā ir, bet gan tas, ka tas nodrošina aizmugures durvis, lai identificētu sevi kā jebkuru lietotāju, kas reģistrēts datorā ar paroli ar spēcīgu šifrēšanu, un var izpildīt komandas ar visaugstākajām privilēģijām.

Ir zināms, ka tas pastāv, taču tas ir inficējis ļoti maz datoru, un nav atrasti pierādījumi, ka būtu izmantoti ļoti mērķtiecīgi vai plaši uzbrukumi. Symbiote izmanto Berkeley pakešu filtru, lai slēpt ļaunprātīgu trafiku inficētā datora:

Kad administrators inficētajā datorā palaiž jebkuru pakešu tveršanas rīku, kodolā tiek ievadīts BPF baitkods, kas nosaka, kuras paketes ir jāuztver. Šajā procesā Symbiote vispirms pievieno savu baitkodu, lai tas varētu filtrēt tīkla trafiku, kuru tas nevēlas, lai pakešu uztveršanas programmatūra redzētu.

Simbiote slēpjas kā labākais gorgonīts (mazie karotāji)

Symbiote ir paredzēts, lai to ielādētu saistītājs, izmantojot LD_PRELOAD. Tas ļauj to ielādēt pirms citiem koplietotiem objektiem. Ja tas tiek ielādēts agrāk, tas var nolaupīt importu no citiem lietojumprogrammas ielādētajiem bibliotēkas failiem. Simbiots to izmanto, lai slēpt savu klātbūtni pievienošana libc un libpcap. Ja izsaucošā lietojumprogramma mēģina piekļūt failam vai mapei sadaļā /proc, ļaunprātīga programmatūra noņem tās sarakstā esošo procesu nosaukumu izvadi. Ja tas nemēģina kaut kam piekļūt iekšā /proc, tas noņem rezultātu no failu saraksta.

Blackberry beidz savu rakstu, sakot, ka mums ir darīšana ar ļoti nenotveramu ļaunprātīgu programmatūru. Viņu mērķis ir iegūt akreditācijas datus un nodrošināt aizmugures durvis inficētiem datoriem. To ir ļoti grūti noteikt, tāpēc vienīgais, uz ko varam cerēt, ir, ka ielāpi tiks izlaisti pēc iespējas ātrāk. Nav zināms, ka tas ir daudz lietots, bet tas ir bīstams. Šeit, kā vienmēr, atcerieties, cik svarīgi ir lietot drošības ielāpus, tiklīdz tie ir pieejami.


Atstājiet savu komentāru

Jūsu e-pasta adrese netiks publicēta. Obligātie lauki ir atzīmēti ar *

*

*

  1. Atbildīgais par datiem: AB Internet Networks 2008 SL
  2. Datu mērķis: SPAM kontrole, komentāru pārvaldība.
  3. Legitimācija: jūsu piekrišana
  4. Datu paziņošana: Dati netiks paziņoti trešām personām, izņemot juridiskus pienākumus.
  5. Datu glabāšana: datu bāze, ko mitina Occentus Networks (ES)
  6. Tiesības: jebkurā laikā varat ierobežot, atjaunot un dzēst savu informāciju.

  1.   ja teica
    dara 2 gadi

    un ka jums ir jāpiešķir iepriekšējās root atļaujas, lai varētu to instalēt, vai ne?

    Atbildēt ja