Symbiote, un virus nou, periculos și ascuns care afectează Linux

Pablinux

Minute 4

simbiot

Chiar ieri am publicat un articol în care am raportat că au avut am remediat 7 vulnerabilități în GRUB de Linux. Și este că nu suntem obișnuiți sau pur și simplu greșim: desigur că există defecte de securitate și viruși în Linux, ca și în Windows, macOS și chiar iOS/iPadOS, cele mai închise sisteme care există. Sistemul perfect nu există și, deși unele sunt mai sigure, o parte din securitatea noastră se datorează faptului că folosim un sistem de operare cu o cotă de piață mică. Dar puținul nu este zero, iar acest lucru este cunoscut de dezvoltatorii rău intenționați, cum ar fi cei care au creat simbiot.

A fost Blackberry joia trecută care a sunat alarma, deși nu începe foarte bine când încearcă să explice numele amenințării. Se spune că un simbiont este un organism care trăiește în simbioză cu un alt organism. Până acum ne merge bine. Ceea ce nu este atât de bine este când spune că uneori un simbiot poate fi parazitar când îl avantajează și îl dăunează pe celălalt, dar nu, sau unul sau altul: dacă ambii beneficiază, ca rechinul și remora, este o simbioză. Dacă remora a făcut rău rechinului, atunci acesta ar deveni automat un parazit, dar aceasta nu este o clasă de biologie sau un documentar marin.

Symbiote infectează alte procese pentru a provoca daune

Explicat mai sus, Symbiote nu poate fi mai mult decât un parazit. Numele lui trebuie să provină, poate, de la asta nu observăm prezența ta. Am putea folosi un computer infectat fără să-l observăm, dar dacă nu îl observăm și ne fură date, ne dăunează, deci nu există nicio „simbioză”. Blackberry explică:

Ceea ce face ca Symbiote să fie diferit de alte programe malware Linux pe care le întâlnim de obicei este că trebuie să infecteze alte procese care rulează pentru a provoca daune mașinilor infectate. În loc să fie un fișier executabil autonom care este rulat pentru a infecta o mașină, este o bibliotecă de obiecte partajate (OS) care se încarcă singură în toate procesele care rulează folosind LD_PRELOAD (T1574.006) și infectează parazitar mașina. Odată ce a infectat toate procesele care rulează, oferă actorului amenințării funcționalitatea rootkit, capacitatea de a colecta acreditări și capacitatea de acces la distanță.

A fost depistat în noiembrie 2021

Blackberry a văzut pentru prima dată Symbiote în noiembrie 2021 și se pare că destinația lor este sectorul financiar al Americii Latine. Odată ce ne-a infectat computerul, se ascunde pe sine și orice alt program malware folosit de amenințare, ceea ce face foarte dificilă detectarea infecțiilor. Toată activitatea dvs. este ascunsă, inclusiv activitatea din rețea, ceea ce face aproape imposibil să știți că există. Dar lucrul rău nu este că este, ci că oferă o ușă în spate pentru a se identifica ca orice utilizator înregistrat pe computer cu o parolă cu criptare puternică și poate executa comenzi cu cele mai înalte privilegii.

Se știe că există, dar a infectat foarte puține computere și nu s-a găsit nicio dovadă că au fost folosite atacuri foarte țintite sau ample. Symbiote folosește filtrul de pachete Berkeley pentru ascunde traficul rău intenționat a computerului infectat:

Când un administrator pornește orice instrument de capturare a pachetelor pe mașina infectată, codul de octet BPF este injectat în nucleu care definește pachetele care trebuie capturate. În acest proces, Symbiote adaugă mai întâi codul de octeți, astfel încât să poată filtra traficul de rețea pe care nu dorește ca software-ul de captare a pachetelor să îl vadă.

Simbiotul se ascunde ca cel mai bun Gorgonit (mici războinici)

Symbiote este proiectat pentru a fi încărcat de linker prin LD_PRELOAD. Acest lucru îi permite să se încarce înaintea oricăror alte obiecte partajate. Fiind încărcat mai devreme, poate deturna importurile din alte fișiere de bibliotecă încărcate de aplicație. Simbiotul folosește acest lucru pentru a ascunde prezența lor conectarea la libc și libpcap. Dacă aplicația care apelează încearcă să acceseze un fișier sau un folder din /proc, malware-ul elimină ieșirea numelor de proces care se află pe lista sa. Dacă nu încearcă să acceseze nimic din /proc, atunci elimină rezultatul din lista de fișiere.

Blackberry își încheie articolul spunând că avem de-a face cu un malware foarte evaziv. Al lor scopul este de a obține acreditări și oferă o ușă în spate pentru computerele infectate. Este foarte greu de detectat, așa că singurul lucru la care putem spera este ca patch-urile să fie lansate cât mai curând posibil. Nu se știe că a fost folosit mult, dar este periculos. De aici, ca întotdeauna, amintiți-vă de importanța aplicării patch-urilor de securitate de îndată ce acestea sunt disponibile.


Lasă comentariul tău

Adresa ta de email nu va fi publicată. Câmpurile obligatorii sunt marcate cu *

*

*

  1. Responsabil pentru date: AB Internet Networks 2008 SL
  2. Scopul datelor: Control SPAM, gestionarea comentariilor.
  3. Legitimare: consimțământul dvs.
  4. Comunicarea datelor: datele nu vor fi comunicate terților decât prin obligație legală.
  5. Stocarea datelor: bază de date găzduită de Occentus Networks (UE)
  6. Drepturi: în orice moment vă puteți limita, recupera și șterge informațiile.

  1.   ja el a spus
    hace Ani 2

    și că trebuie să dai permisiuni anterioare de root pentru a-l putea instala, nu?

    Răspunde la ja