Symbiote, një virus i ri, i rrezikshëm dhe i fshehtë që prek Linux-in

Pablinux

Minuta 4

Simbioti

Vetëm dje publikuam një artikull në të cilin raportuam se kishin rregulloi 7 dobësi në GRUB të Linux-it. Dhe kjo është se ne nuk jemi mësuar me të ose thjesht e kemi gabim: sigurisht që ka të meta sigurie dhe viruse në Linux, si në Windows, macOS dhe madje edhe iOS/iPadOS, sistemet më të mbyllura që ekzistojnë. Sistemi i përsosur nuk ekziston, dhe megjithëse disa janë më të sigurt, një pjesë e sigurisë sonë është për shkak të faktit se ne përdorim një sistem operativ me pak pjesë tregu. Por pak nuk është zero, dhe kjo dihet nga zhvilluesit me qëllim të keq si ata që kanë krijuar Simbioti.

Ishte Blackberry të enjten e kaluar dha alarmin, megjithëse nuk e nis shumë mirë kur përpiqet të shpjegojë emrin e kërcënimit. Ai thotë se një simbion është një organizëm që jeton në simbiozë me një organizëm tjetër. Deri tani po ecim mirë. Ajo që nuk është aq e mirë është kur ai thotë se ndonjëherë një simbiotë mund të jetë parazitare kur i bën dobi dhe i dëmton tjetrit, por jo, ose njërit ose tjetrit: nëse përfitojnë të dy, si peshkaqeni dhe remora, është simbiozë. Nëse remora do të dëmtonte peshkaqenin, atëherë ai automatikisht do të bëhej parazit, por ky nuk është një klasë biologjie apo një dokumentar detar.

Symbiote infekton procese të tjera për të shkaktuar dëme

E shpjeguar sa më sipër, Symbiote nuk mund të jetë më shumë se një parazit. Emri i tij duhet të vijë, ndoshta, nga kjo ne nuk e vërejmë praninë tuaj. Mund të përdorim një kompjuter të infektuar pa e vënë re, por nëse nuk e vërejmë dhe po na vjedh të dhëna, po na dëmton, kështu që nuk ka "simbiozë" të mundshme. Blackberry shpjegon:

Ajo që e bën Symbiote të ndryshëm nga malware të tjerë Linux që hasim zakonisht është se ai duhet të infektojë procese të tjera që funksionojnë në mënyrë që të shkaktojë dëme në makinat e infektuara. Në vend që të jetë një skedar i ekzekutueshëm i pavarur që ekzekutohet për të infektuar një makinë, ai është një bibliotekë e përbashkët e objekteve (OS) që ngarkon veten në të gjitha proceset e ekzekutimit duke përdorur LD_PRELOAD (T1574.006) dhe infekton në mënyrë parazitare makinën. Pasi të ketë infektuar të gjitha proceset e ekzekutimit, ai i siguron aktorit të kërcënimit funksionalitetin e rootkit, aftësinë për të mbledhur kredencialet dhe aftësinë e aksesit në distancë.

Ai u zbulua në nëntor 2021

Blackberry zbuloi për herë të parë Symbiote në nëntor 2021, dhe duket kështu destinacioni i tyre është sektori financiar i Amerikës Latine. Pasi të ketë infektuar kompjuterin tonë, ai fsheh veten dhe çdo malware tjetër të përdorur nga kërcënimi, duke e bërë shumë të vështirë zbulimin e infeksioneve. I gjithë aktiviteti juaj është i fshehur, duke përfshirë aktivitetin e rrjetit, duke e bërë pothuajse të pamundur të dini se është aty. Por e keqja nuk është se është, por se ofron një backdoor për të identifikuar veten si çdo përdorues i regjistruar në kompjuter me një fjalëkalim me enkriptim të fortë dhe mund të ekzekutojë komanda me privilegjet më të larta.

Dihet se ekziston, por ka infektuar shumë pak kompjuterë dhe nuk është gjetur asnjë provë që të jenë përdorur sulme shumë të synuara ose të gjera. Symbiote përdor filtrin e paketave Berkeley për të fsheh trafikun keqdashës i kompjuterit të infektuar:

Kur një administrator fillon ndonjë mjet për kapjen e paketave në makinën e infektuar, bytekodi BPF injektohet në kernel që përcakton se cilat paketa duhet të kapen. Në këtë proces, Symbiote së pari shton bytekodin e tij në mënyrë që të filtrojë trafikun e rrjetit që nuk dëshiron që softueri i kapjes së paketave të shohë.

Symbiote fshihet si Gorgoniti më i mirë (luftëtarët e vegjël)

Symbiote është projektuar për t'u ngarkuar nga lidhësi nëpërmjet LD_PRELOAD. Kjo e lejon atë të ngarkohet përpara çdo objekti tjetër të përbashkët. Duke u ngarkuar më herët, ai mund të rrëmbejë importet nga skedarët e tjerë të bibliotekës të ngarkuar nga aplikacioni. Simbioti e përdor këtë për të fshehin praninë e tyre duke u lidhur në libc dhe libpcap. Nëse aplikacioni thirrës përpiqet të aksesojë një skedar ose dosje brenda /proc, malware heq daljen e emrave të proceseve që janë në listën e tij. Nëse nuk përpiqet të hyjë në ndonjë gjë brenda /proc, atëherë e heq rezultatin nga lista e skedarëve.

Blackberry përfundon artikullin e tij duke thënë se kemi të bëjmë me një malware shumë të pakapshëm. e tyre qëllimi është të merrni kredencialet dhe siguroni një derë të pasme për kompjuterët e infektuar. Është shumë e vështirë për t'u zbuluar, kështu që e vetmja gjë për të cilën mund të shpresojmë është që arnimet të lëshohen sa më shpejt të jetë e mundur. Nuk dihet të jetë përdorur shumë, por është i rrezikshëm. Nga këtu, si gjithmonë, mbani mend rëndësinë e aplikimit të arnimeve të sigurisë sa më shpejt që ato të jenë të disponueshme.


Lini komentin tuaj

Adresa juaj e emailit nuk do të publikohet. Fusha e kërkuar janë shënuar me *

*

*

  1. Përgjegjës për të dhënat: AB Internet Networks 2008 SL
  2. Qëllimi i të dhënave: Kontrolloni SPAM, menaxhimin e komenteve.
  3. Legjitimimi: Pëlqimi juaj
  4. Komunikimi i të dhënave: Të dhënat nuk do t'u komunikohen palëve të treta përveç me detyrim ligjor.
  5. Ruajtja e të dhënave: Baza e të dhënave e organizuar nga Occentus Networks (BE)
  6. Të drejtat: Në çdo kohë mund të kufizoni, rikuperoni dhe fshini informacionin tuaj.

  1.   ja dijo
    më parë Vjet 2

    dhe se duhet të jepni leje të mëparshme rrënjësore për të qenë në gjendje ta instaloni atë, apo jo?

    Përgjigju ja