เมื่อวานนี้เราตีพิมพ์บทความที่เรารายงานว่าพวกเขามี แก้ไขช่องโหว่ 7 รายการใน GRUB ของลินุกซ์ และเป็นสิ่งที่เราไม่คุ้นเคยหรือผิดพลาดเพียงอย่างเดียว: แน่นอนว่ามีข้อบกพร่องด้านความปลอดภัยและไวรัสใน Linux เช่นเดียวกับใน Windows, macOS และแม้แต่ iOS/iPadOS ซึ่งเป็นระบบปิดที่มีอยู่มากที่สุด ไม่มีระบบที่สมบูรณ์แบบ และแม้ว่าระบบบางระบบจะมีความปลอดภัยมากกว่า แต่ส่วนหนึ่งของการรักษาความปลอดภัยของเรานั้นเกิดจากการที่เราใช้ระบบปฏิบัติการที่มีส่วนแบ่งการตลาดเพียงเล็กน้อย แต่มีน้อยไม่ใช่ศูนย์ และสิ่งนี้เป็นที่รู้จักโดยนักพัฒนาที่เป็นอันตรายเช่นผู้สร้าง คล้าย.
เมื่อวันพฤหัสบดีที่แล้วเป็น Blackberry ที่ ส่งเสียงเตือนแม้ว่าเขาจะเริ่มต้นได้ไม่ดีนักเมื่อพยายามอธิบายชื่อของภัยคุกคาม มันบอกว่า symbiont คือสิ่งมีชีวิตที่อาศัยอยู่ใน symbiosis กับสิ่งมีชีวิตอื่น จนถึงตอนนี้เราทำได้ดี ที่ไม่ค่อยดีเท่าไหร่คือตอนที่เขาพูดกันว่าบางทีซิมไบโอตก็เป็นได้ ปรสิต เมื่อมันเป็นประโยชน์และเป็นอันตรายต่ออีกฝ่ายหนึ่ง แต่ไม่ใช่หรืออย่างใดอย่างหนึ่ง: หากทั้งสองได้ประโยชน์เช่นปลาฉลามและตัวรีโมรามันเป็นการพึ่งพาอาศัยกัน หากรีโมราทำร้ายฉลาม มันก็จะกลายเป็นปรสิตโดยอัตโนมัติ แต่นี่ไม่ใช่วิชาชีววิทยาหรือสารคดีทางทะเล
Symbiote แพร่เชื้อสู่กระบวนการอื่นเพื่อสร้างความเสียหาย
อธิบายข้างต้น Symbiote ไม่สามารถเป็นมากกว่าปรสิต ชื่อของเขาต้องมาจากสิ่งนั้น เราไม่สังเกตเห็นการปรากฏตัวของคุณ. เราอาจใช้คอมพิวเตอร์ที่ติดไวรัสโดยไม่สังเกต แต่ถ้าเราไม่สังเกตและขโมยข้อมูลจากเรา มันก็จะทำร้ายเรา ดังนั้นจึงไม่มี "ความคล้ายคลึง" ที่เป็นไปได้ Blackberry อธิบายว่า:
สิ่งที่ทำให้ Symbiote แตกต่างจากมัลแวร์ Linux อื่น ๆ ที่เรามักพบคือจำเป็นต้องแพร่เชื้อไปยังกระบวนการทำงานอื่น ๆ เพื่อสร้างความเสียหายให้กับเครื่องที่ติดไวรัส แทนที่จะเป็นไฟล์เรียกทำงานแบบสแตนด์อโลนที่เรียกใช้เพื่อแพร่ระบาดในเครื่อง แต่เป็นไลบรารีอ็อบเจ็กต์ที่ใช้ร่วมกัน (OS) ที่โหลดตัวเองเข้าสู่กระบวนการที่ทำงานอยู่ทั้งหมดโดยใช้ LD_PRELOAD (T1574.006) และแพร่ระบาดในเครื่อง เมื่อมันติดไวรัสกระบวนการทำงานทั้งหมด มันจะให้ฟังก์ชั่นรูทคิทแก่ผู้คุกคาม ความสามารถในการรวบรวมข้อมูลรับรอง และความสามารถในการเข้าถึงจากระยะไกล
ตรวจพบในเดือนพฤศจิกายน 2021
Blackberry ค้นพบ Symbiote ครั้งแรกในเดือนพฤศจิกายน 2021 และดูเหมือนว่า จุดหมายปลายทางของพวกเขาคือภาคการเงินของละตินอเมริกา. เมื่อมันติดไวรัสคอมพิวเตอร์ของเรา มันจะซ่อนตัวเองและมัลแวร์อื่น ๆ ที่ใช้โดยภัยคุกคาม ทำให้ยากต่อการตรวจจับการติดไวรัส กิจกรรมทั้งหมดของคุณถูกซ่อนไว้ รวมถึงกิจกรรมในเครือข่าย ทำให้แทบเป็นไปไม่ได้เลยที่จะรู้ว่ากิจกรรมนั้นอยู่ที่นั่น แต่สิ่งที่แย่ไม่ใช่ว่ามันเป็น แต่มีแบ็คดอร์เพื่อระบุตัวเองว่าเป็นผู้ใช้ที่ลงทะเบียนบนคอมพิวเตอร์ด้วยรหัสผ่านที่มีการเข้ารหัสที่รัดกุม และสามารถรันคำสั่งที่มีสิทธิ์สูงสุด
เป็นที่ทราบกันว่ามีอยู่ แต่มีคอมพิวเตอร์ติดไวรัสน้อยมาก และไม่มีหลักฐานใดที่พบว่ามีการใช้การโจมตีแบบกำหนดเป้าหมายหรือแบบกว้างๆ Symbiote ใช้ Berkeley Packet Filter เพื่อ ซ่อนการรับส่งข้อมูลที่เป็นอันตราย ของคอมพิวเตอร์ที่ติดไวรัส:
เมื่อผู้ดูแลระบบเริ่มต้นเครื่องมือดักจับแพ็กเก็ตใดๆ บนเครื่องที่ติดไวรัส ไบต์โค้ด BPF จะถูกฉีดเข้าไปในเคอร์เนลที่กำหนดว่าแพ็กเก็ตใดควรถูกดักจับ ในขั้นตอนนี้ Symbiote จะเพิ่ม bytecode ก่อน เพื่อให้สามารถกรองทราฟฟิกเครือข่ายที่ไม่ต้องการให้ซอฟต์แวร์ดักจับแพ็กเก็ตเห็น
Symbiote ซ่อนตัวเป็น Gorgonite ที่ดีที่สุด (นักรบตัวน้อย)
Symbiote ได้รับการออกแบบให้โหลดโดยตัวเชื่อมโยงผ่าน LD_PRELOAD ซึ่งช่วยให้โหลดก่อนอ็อบเจ็กต์ที่ใช้ร่วมกันอื่นๆ เมื่อโหลดก่อนหน้านี้ มันสามารถจี้การนำเข้าจากไฟล์ไลบรารีอื่น ๆ ที่โหลดโดยแอปพลิเคชัน ซิมไบโอตใช้สิ่งนี้เพื่อ ซ่อนการปรากฏตัวของพวกเขา เชื่อมต่อกับ libc และ libpcap หากแอปพลิเคชันที่เรียกพยายามเข้าถึงไฟล์หรือโฟลเดอร์ภายใน /proc มัลแวร์จะลบเอาต์พุตของชื่อกระบวนการที่อยู่ในรายการ หากไม่พยายามเข้าถึงสิ่งใดใน /proc ระบบจะลบผลลัพธ์ออกจากรายการไฟล์
Blackberry ลงท้ายบทความโดยบอกว่าเรากำลังเผชิญกับมัลแวร์ที่เข้าใจยาก ของพวกเขา เป้าหมายคือการได้รับข้อมูลประจำตัว และจัดเตรียมแบ็คดอร์ให้กับคอมพิวเตอร์ที่ติดไวรัส การตรวจจับเป็นเรื่องยากมาก ดังนั้นสิ่งเดียวที่เราหวังได้คือแพตช์จะถูกปล่อยโดยเร็วที่สุด ไม่รู้ใช้เยอะแต่อันตราย จากที่นี่ โปรดจำถึงความสำคัญของการใช้แพตช์ความปลอดภัยทันทีที่พร้อมใช้งาน
และคุณต้องให้สิทธิ์รูทก่อนหน้านี้จึงจะสามารถติดตั้งได้ใช่ไหม