Len včera sme zverejnili článok, v ktorom sme informovali, že mali opravených 7 zraniteľností v GRUB systému Linux. A je to tak, že na to nie sme zvyknutí alebo sa jednoducho mýlime: Samozrejme, že v Linuxe sú bezpečnostné chyby a vírusy, ako napríklad Windows, macOS a dokonca iOS/iPadOS, najuzavretejšie systémy, aké existujú. Dokonalý systém neexistuje a hoci niektoré sú bezpečnejšie, časť našej bezpečnosti je spôsobená tým, že používame operačný systém s malým podielom na trhu. Ale málo nie je nula, a to vedia zlomyseľní vývojári, ako sú tí, ktorí vytvorili symbiontov.
Bol to Blackberry minulý štvrtok zaznel poplach, hoci nezačína veľmi dobre, keď sa snaží vysvetliť názov hrozby. Hovorí, že symbiont je organizmus, ktorý žije v symbióze s iným organizmom. Zatiaľ sa nám to darí. Čo nie je také dobré, keď hovorí, že niekedy môže byť symbiont parazitický keď to druhému prospieva a škodí, ale nie, alebo jednému alebo druhému: ak prospieva obom, ako žralokovi a remorovi, ide o symbiózu. Ak by remora žralokovi ublížila, automaticky by sa z neho stal parazit, ale toto nie je hodina biológie ani morský dokument.
Symbiote infikuje iné procesy, aby spôsobil poškodenie
Vysvetlené vyššie, Symbiote nemôže byť viac ako parazit. Jeho meno môže pochádzať z toho nevnímame vašu prítomnosť. Mohli by sme používať infikovaný počítač bez toho, aby sme si to všimli, ale ak si to nevšimneme a kradne nám dáta, škodí nám, takže žiadna možná „symbióza“ neexistuje. Blackberry vysvetľuje:
Symbiote sa líši od iného malvéru Linuxu, s ktorým sa zvyčajne stretávame, že potrebuje infikovať ostatné bežiace procesy, aby mohol poškodiť infikované počítače. Namiesto toho, aby to bol samostatný spustiteľný súbor, ktorý sa spúšťa na infikovanie počítača, je to knižnica zdieľaných objektov (OS), ktorá sa načíta do všetkých spustených procesov pomocou LD_PRELOAD (T1574.006) a parazitne infikuje počítač. Po infikovaní všetkých spustených procesov poskytuje aktérovi hrozby funkciu rootkitu, možnosť zhromažďovať poverenia a možnosť vzdialeného prístupu.
Bolo zistené v novembri 2021
Blackberry prvýkrát spozoroval Symbiote v novembri 2021 a vyzerá to tak ich cieľom je finančný sektor Latinskej Ameriky. Akonáhle infikuje náš počítač, skryje seba a akýkoľvek iný malvér používaný hrozbou, takže je veľmi ťažké odhaliť infekcie. Všetka vaša aktivita je skrytá, vrátane sieťovej aktivity, takže je takmer nemožné vedieť, že tam je. Zlá vec však nie je v tom, že to tak je, ale v tom, že poskytuje zadné vrátka, aby sa mohol identifikovať ako ktorýkoľvek používateľ zaregistrovaný v počítači pomocou hesla so silným šifrovaním a môže vykonávať príkazy s najvyššími oprávneniami.
Je známe, že existuje, ale infikoval veľmi málo počítačov a nenašli sa žiadne dôkazy o tom, že by boli použité veľmi cielené alebo široké útoky. Symbiote na to používa Berkeley Packet Filter skryť škodlivú premávku infikovaného počítača:
Keď administrátor spustí akýkoľvek nástroj na zachytávanie paketov na infikovanom počítači, bajtový kód BPF sa vloží do jadra, ktoré definuje, ktoré pakety by sa mali zachytiť. V tomto procese Symbiote najskôr pridá svoj bajtový kód, aby mohol filtrovať sieťový prenos, ktorý nechce, aby softvér na zachytávanie paketov videl.
Symbiote sa skrýva ako najlepší Gorgonite (malí bojovníci)
Symbiote je navrhnutý tak, aby ho načítal linker cez LD_PRELOAD. To mu umožňuje načítať pred akýmikoľvek inými zdieľanými objektmi. Ak sa načíta skôr, môže uniesť importy z iných súborov knižnice načítaných aplikáciou. Symbiot to využíva skryť svoju prítomnosť pripojenie k libc a libpcap. Ak sa volajúca aplikácia pokúsi o prístup k súboru alebo priečinku v rámci /proc, malvér odstráni výstup názvov procesov, ktoré sú v jeho zozname. Ak sa nepokúsi získať prístup k ničomu v /proc, odstráni výsledok zo zoznamu súborov.
Blackberry končí svoj článok s tým, že máme čo do činenia s veľmi nepolapiteľným malvérom. ich cieľom je získať poverenia a poskytnúť zadné vrátka infikovaným počítačom. Je veľmi ťažké ho odhaliť, takže jediné, v čo môžeme dúfať, je, že záplaty budú vydané čo najskôr. Nie je známe, že by sa používal veľa, ale je nebezpečný. Odtiaľto, ako vždy, pamätajte na dôležitosť použitia bezpečnostných záplat hneď, ako budú k dispozícii.
a že na inštaláciu musíte dať predchádzajúce oprávnenia root, však?