Bare i går publiserte vi en artikkel der vi rapporterte at de hadde fikset 7 sårbarheter i GRUB av Linux. Og det er at vi ikke er vant til det eller bare tar feil: selvfølgelig er det sikkerhetsfeil og virus i Linux, som i Windows, macOS og til og med iOS/iPadOS, de mest lukkede systemene som finnes. Det perfekte systemet finnes ikke, og selv om noen er sikrere, skyldes en del av sikkerheten at vi bruker et operativsystem med liten markedsandel. Men lite er ikke null, og dette er kjent av ondsinnede utviklere som de som har skapt symbioten.
Det var Blackberry sist torsdag som slo alarm, selv om han ikke starter særlig bra når han prøver å forklare navnet på trusselen. Det står at en symbiont er en organisme som lever i symbiose med en annen organisme. Så langt har vi det bra. Det som ikke er så bra er når han sier at noen ganger kan en symbiote være det parasittisk når det gagner og skader den andre, men ikke, eller det ene eller det andre: hvis begge gagner, som haien og remoraen, er det en symbiose. Hvis remoraen skadet haien, ville den automatisk blitt en parasitt, men dette er ikke en biologitime eller en marin dokumentar.
Symbiote infiserer andre prosesser for å forårsake skade
Forklart ovenfor, kan Symbiote ikke være mer enn en parasitt. Navnet hans må kanskje komme fra det vi legger ikke merke til din tilstedeværelse. Vi kan bruke en infisert datamaskin uten å legge merke til den, men hvis vi ikke legger merke til den og den stjeler data fra oss, skader den oss, så det er ingen mulig "symbiose". Blackberry forklarer:
Det som gjør Symbiote forskjellig fra annen Linux-malware som vi vanligvis møter, er at den må infisere andre kjørende prosesser for å påføre skade på infiserte maskiner. I stedet for å være en frittstående kjørbar fil som kjøres for å infisere en maskin, er det et delt objektbibliotek (OS) som laster seg inn i alle kjørende prosesser ved hjelp av LD_PRELOAD (T1574.006), og parasitt infiserer maskinen. Når den har infisert alle prosesser som kjører, gir den trusselaktøren rootkit-funksjonalitet, muligheten til å samle inn legitimasjon og mulighet for ekstern tilgang.
Det ble oppdaget i november 2021
Blackberry oppdaget Symbiote første gang i november 2021, og det ser ut som deres destinasjon er finanssektoren i Latin-Amerika. Når den har infisert datamaskinen vår, skjuler den seg selv og all annen skadelig programvare som brukes av trusselen, noe som gjør det svært vanskelig å oppdage infeksjoner. All aktiviteten din er skjult, inkludert nettverksaktivitet, noe som gjør det nesten umulig å vite at den er der. Men det dårlige er ikke at det er det, men at det gir en bakdør for å identifisere seg som enhver bruker registrert på datamaskinen med et passord med sterk kryptering, og kan utføre kommandoer med de høyeste privilegiene.
Det er kjent for å eksistere, men det har infisert svært få datamaskiner og det er ikke funnet bevis for at svært målrettede eller brede angrep har blitt brukt. Symbiote bruker Berkeley Packet Filter for å skjule ondsinnet trafikk av den infiserte datamaskinen:
Når en administrator starter et pakkefangstverktøy på den infiserte maskinen, injiseres BPF-bytekode i kjernen som definerer hvilke pakker som skal fanges. I denne prosessen legger Symbiote først til sin bytekode slik at den kan filtrere nettverkstrafikk som den ikke vil at programvaren for pakkefangst skal se.
Symbiote gjemmer seg som den beste gorgonitten (små krigere)
Symbiote er designet for å bli lastet av linkeren via LD_PRELOAD. Dette gjør at den kan lastes før andre delte objekter. Etter å ha lastet inn tidligere, kan den kapre importer fra andre bibliotekfiler lastet av applikasjonen. Symbioten bruker dette til skjule deres tilstedeværelse kobler til libc og libpcap. Hvis den oppringende applikasjonen prøver å få tilgang til en fil eller mappe i /proc, fjerner skadelig programvare utdataene fra prosessnavnene som er på listen. Hvis den ikke prøver å få tilgang til noe i /proc, fjerner den resultatet fra fillisten.
Blackberry avslutter artikkelen med å si at vi har å gjøre med en svært unnvikende skadelig programvare. Deres Målet er å få legitimasjon og gi en bakdør til infiserte datamaskiner. Det er veldig vanskelig å oppdage, så det eneste vi kan håpe på er at oppdateringene blir utgitt så fort som mulig. Det er ikke kjent å ha blitt brukt mye, men det er farlig. Herfra, som alltid, husk viktigheten av å bruke sikkerhetsoppdateringer så snart de er tilgjengelige.
og at du må gi tidligere root-tillatelser for å kunne installere det, ikke sant?