Буквально вчера мы опубликовали статью, в которой сообщали, что они исправлено 7 уязвимостей в GRUB из Linux. И дело в том, что мы к этому не привыкли или просто ошибаемся: конечно, в Linux есть недостатки безопасности и вирусы, как и в Windows, macOS и даже iOS/iPadOS, самых закрытых системах, которые существуют. Идеальной системы не существует, и хотя некоторые из них более безопасны, часть нашей безопасности связана с тем, что мы используем операционную систему с небольшой долей рынка. Но мало не ноль, и это знают злонамеренные разработчики вроде тех, кто создал Симбиот.
Именно Blackberry в прошлый четверг забил тревогу, хотя он не очень хорошо начинает, когда пытается объяснить название угрозы. В ней говорится, что симбионт — это организм, живущий в симбиозе с другим организмом. Пока у нас все хорошо. Что не так хорошо, так это когда он говорит, что иногда симбиот может быть паразитический когда это приносит пользу и вредит другому, но не тому или другому: если оба приносят пользу, как акула и ремора, это симбиоз. Если бы ремора навредила акуле, то она автоматически стала бы паразитом, но это не урок биологии и не морской документальный фильм.
Symbiote заражает другие процессы, чтобы нанести ущерб
Как объяснялось выше, Симбиот не может быть больше, чем паразитом. Его имя должно происходить, возможно, от этого мы не замечаем твоего присутствия. Мы могли бы использовать зараженный компьютер, не замечая этого, но если мы этого не замечаем, и он крадет у нас данные, он наносит нам вред, поэтому «симбиоз» невозможен. Блэкберри объясняет:
Что отличает Symbiote от других вредоносных программ для Linux, с которыми мы обычно сталкиваемся, так это то, что ему необходимо заразить другие запущенные процессы, чтобы нанести ущерб зараженным машинам. Вместо автономного исполняемого файла, запускаемого для заражения машины, это библиотека общих объектов (ОС), которая загружает себя во все запущенные процессы с помощью LD_PRELOAD (T1574.006) и паразитически заражает машину. После заражения всех запущенных процессов злоумышленнику предоставляется функциональность руткита, возможность собирать учетные данные и возможность удаленного доступа.
Он был обнаружен в ноябре 2021 года.
Blackberry впервые заметила Symbiote в ноябре 2021 года, и, похоже, их назначение - финансовый сектор Латинской Америки. После того, как он заразил наш компьютер, он скрывает себя и любое другое вредоносное ПО, используемое угрозой, что очень затрудняет обнаружение заражений. Вся ваша активность скрыта, в том числе сетевая активность, поэтому узнать, что она есть, практически невозможно. Но плохо не то, что он есть, а то, что он предоставляет бэкдор для идентификации себя как любого пользователя, зарегистрированного на компьютере с паролем с надежным шифрованием, и может выполнять команды с самыми высокими привилегиями.
Известно, что он существует, но он заразил очень мало компьютеров, и не было обнаружено никаких доказательств того, что использовались узконаправленные или широкомасштабные атаки. Symbiote использует Berkeley Packet Filter для скрыть вредоносный трафик зараженного компьютера:
Когда администратор запускает любой инструмент захвата пакетов на зараженной машине, байт-код BPF внедряется в ядро, которое определяет, какие пакеты следует перехватывать. В этом процессе Symbiote сначала добавляет свой байт-код, чтобы он мог фильтровать сетевой трафик, который он не хочет видеть для программного обеспечения для захвата пакетов.
Симбиот прячется как лучший Горгонит (маленькие воины)
Symbiote предназначен для загрузки компоновщиком через LD_PRELOAD. Это позволяет ему загружаться перед любыми другими общими объектами. Будучи загруженным ранее, он может перехватить импорт из других файлов библиотек, загруженных приложением. Симбиот использует это, чтобы скрыть свое присутствие подключение к libc и libpcap. Если вызывающее приложение пытается получить доступ к файлу или папке в /proc, вредоносное ПО удаляет вывод имен процессов, которые есть в его списке. Если он не пытается получить доступ к чему-либо внутри /proc, он удаляет результат из списка файлов.
Blackberry заканчивает свою статью словами о том, что мы имеем дело с очень неуловимой вредоносной программой. Их цель - получить удостоверение и предоставить бэкдор для зараженных компьютеров. Его очень сложно обнаружить, поэтому единственное, на что мы можем надеяться, это то, что патчи будут выпущены как можно скорее. Неизвестно, что его часто использовали, но он опасен. Отсюда, как всегда, помните о важности применения исправлений безопасности, как только они станут доступны.
и что вам нужно дать предыдущие права root, чтобы иметь возможность установить его, верно?