Symbiote, virus baharu, berbahaya dan tersembunyi yang menjejaskan Linux

Pablinux

Minit 4

symbiote

Baru semalam kami menerbitkan artikel di mana kami melaporkan bahawa mereka ada membetulkan 7 kelemahan dalam GRUB daripada Linux. Dan kami tidak terbiasa dengannya atau hanya salah: sudah tentu terdapat kelemahan keselamatan dan virus di Linux, seperti dalam Windows, macOS dan juga iOS/iPadOS, sistem paling tertutup yang wujud. Sistem yang sempurna tidak wujud, dan walaupun ada yang lebih selamat, sebahagian daripada keselamatan kami adalah disebabkan oleh fakta bahawa kami menggunakan sistem pengendalian dengan bahagian pasaran yang sedikit. Tetapi sedikit bukan sifar, dan ini diketahui oleh pembangun berniat jahat seperti mereka yang telah mencipta symbiote.

Blackberry Khamis lepas yang membunyikan penggera, walaupun dia tidak bermula dengan baik apabila dia cuba menerangkan nama ancaman itu. Ia mengatakan bahawa symbiont ialah organisma yang hidup dalam simbiosis dengan organisma lain. Setakat ini kami baik-baik saja. Apa yang tidak bagus adalah apabila dia mengatakan bahawa kadang-kadang symbiote boleh parasit apabila ia memberi manfaat dan memudaratkan yang lain, tetapi tidak, atau satu atau yang lain: jika kedua-duanya mendapat manfaat, seperti jerung dan remora, ia adalah simbiosis. Jika remora mencederakan jerung, maka ia secara automatik akan menjadi parasit, tetapi ini bukan kelas biologi atau dokumentari marin.

Symbiote menjangkiti proses lain untuk menyebabkan kerosakan

Menjelaskan perkara di atas, Symbiote tidak boleh lebih daripada parasit. Namanya mesti datang, mungkin, dari itu kami tidak perasan kehadiran anda. Kita mungkin menggunakan komputer yang dijangkiti tanpa menyedarinya, tetapi jika kita tidak menyedarinya dan ia mencuri data daripada kita, ia memudaratkan kita, jadi tidak ada kemungkinan "simbiosis". Blackberry menerangkan:

Apa yang menjadikan Symbiote berbeza daripada perisian hasad Linux lain yang biasa kami hadapi ialah ia perlu menjangkiti proses berjalan lain untuk menyebabkan kerosakan pada mesin yang dijangkiti. Daripada menjadi fail boleh laku yang berdiri sendiri yang dijalankan untuk menjangkiti mesin, ia ialah pustaka objek kongsi (OS) yang memuatkan dirinya sendiri ke dalam semua proses yang dijalankan menggunakan LD_PRELOAD (T1574.006) dan menjangkiti mesin secara parasit. Sebaik sahaja ia telah menjangkiti semua proses yang sedang berjalan, ia menyediakan aktor ancaman dengan fungsi rootkit, keupayaan untuk mengumpul bukti kelayakan, dan keupayaan capaian jauh.

Ia dikesan pada November 2021

Blackberry pertama kali melihat Symbiote pada November 2021, dan ia kelihatan seperti destinasi mereka ialah sektor kewangan Amerika Latin. Sebaik sahaja ia telah menjangkiti komputer kami, ia menyembunyikan dirinya dan sebarang perisian hasad lain yang digunakan oleh ancaman itu, menjadikannya sangat sukar untuk mengesan jangkitan. Semua aktiviti anda disembunyikan, termasuk aktiviti rangkaian, menjadikannya hampir mustahil untuk mengetahui ia ada di sana. Tetapi perkara buruknya bukanlah, tetapi ia menyediakan pintu belakang untuk mengenal pasti dirinya sebagai mana-mana pengguna yang berdaftar pada komputer dengan kata laluan dengan penyulitan yang kuat, dan boleh melaksanakan arahan dengan keistimewaan tertinggi.

Ia diketahui wujud, tetapi ia telah menjangkiti sangat sedikit komputer dan tiada bukti didapati bahawa serangan yang sangat disasarkan atau luas telah digunakan. Symbiote menggunakan Penapis Paket Berkeley untuk sembunyikan trafik berniat jahat komputer yang dijangkiti:

Apabila pentadbir memulakan sebarang alat tangkapan paket pada mesin yang dijangkiti, kod bait BPF disuntik ke dalam kernel yang mentakrifkan paket mana yang harus ditangkap. Dalam proses ini, Symbiote terlebih dahulu menambah kod baitnya supaya ia boleh menapis trafik rangkaian yang tidak mahu dilihat oleh perisian tangkapan paket.

Symbiote bersembunyi sebagai Gorgonite terbaik (pahlawan kecil)

Symbiote direka untuk dimuatkan oleh pemaut melalui LD_PRELOAD. Ini membolehkan ia dimuatkan sebelum sebarang objek kongsi lain. Dimuat lebih awal, ia boleh merampas import daripada fail perpustakaan lain yang dimuatkan oleh aplikasi. Symbiote menggunakan ini untuk menyembunyikan kehadiran mereka menyambung ke libc dan libpcap. Jika aplikasi panggilan cuba mengakses fail atau folder dalam /proc, perisian hasad mengalih keluar keluaran nama proses yang terdapat dalam senarainya. Jika ia tidak cuba mengakses apa-apa di dalam /proc, maka ia mengalih keluar hasil daripada senarai fail.

Blackberry mengakhiri artikelnya dengan mengatakan bahawa kami sedang berhadapan dengan perisian hasad yang sangat sukar difahami. mereka matlamatnya adalah untuk mendapatkan kelayakan dan menyediakan pintu belakang kepada komputer yang dijangkiti. Ia sangat sukar untuk dikesan, jadi satu-satunya perkara yang boleh kita harapkan ialah patch akan dikeluarkan secepat mungkin. Ia tidak diketahui telah digunakan banyak, tetapi ia berbahaya. Dari sini, seperti biasa, ingat kepentingan menggunakan patch keselamatan sebaik sahaja ia tersedia.


Tinggalkan komen anda

Alamat email anda tidak akan disiarkan. Ruangan yang diperlukan ditanda dengan *

*

*

  1. Bertanggungjawab untuk data: AB Internet Networks 2008 SL
  2. Tujuan data: Mengendalikan SPAM, pengurusan komen.
  3. Perundangan: Persetujuan anda
  4. Komunikasi data: Data tidak akan disampaikan kepada pihak ketiga kecuali dengan kewajiban hukum.
  5. Penyimpanan data: Pangkalan data yang dihoskan oleh Occentus Networks (EU)
  6. Hak: Pada bila-bila masa anda boleh menghadkan, memulihkan dan menghapus maklumat anda.

  1.   ja kata
    membuat 2 tahun

    dan anda perlu memberikan kebenaran root sebelumnya untuk dapat memasangnya, bukan?

    Balas kepada ja