Symbiote, isang bago, mapanganib at palihim na virus na nakakaapekto sa Linux

Pablinux

4 Minutos

symbiote

Kahapon lang ay nag-publish kami ng isang artikulo kung saan iniulat namin na mayroon sila naayos ang 7 mga kahinaan sa GRUB ng Linux. At ito ay hindi kami sanay o mali lang: siyempre may mga bahid sa seguridad at mga virus sa Linux, tulad ng sa Windows, macOS at kahit iOS/iPadOS, ang pinaka-sarado na mga system na umiiral. Ang perpektong sistema ay hindi umiiral, at bagama't ang ilan ay mas secure, bahagi ng aming seguridad ay dahil sa paggamit namin ng isang operating system na may maliit na bahagi ng merkado. Ngunit ang kaunti ay hindi zero, at ito ay kilala ng mga malisyosong developer tulad ng mga lumikha symbiote.

Blackberry noong Huwebes kung sino nagpatunog ng alarm, bagama't hindi siya masyadong nagsisimula kapag sinubukan niyang ipaliwanag ang pangalan ng pagbabanta. Sinasabi nito na ang isang symbiont ay isang organismo na naninirahan sa symbiosis sa ibang organismo. So far okay naman kami. Ang hindi maganda ay kapag sinabi niya na minsan ay maaaring maging symbiote parasitiko kapag ito ay nakikinabang at nakakapinsala sa isa pa, ngunit hindi, o isa o ang isa pa: kung kapwa makikinabang, tulad ng pating at remora, ito ay isang symbiosis. Kung napinsala ng remora ang pating, awtomatiko itong magiging isang parasito, ngunit hindi ito isang klase ng biology o isang marine documentary.

Ang Symbiote ay nakakahawa sa iba pang mga proseso upang magdulot ng pinsala

Ipinaliwanag sa itaas, ang Symbiote ay hindi maaaring higit sa isang parasito. Ang kanyang pangalan ay dapat nanggaling, marahil, mula doon hindi namin napapansin ang presensya mo. Maaari tayong gumagamit ng isang infected na computer nang hindi ito napapansin, ngunit kung hindi natin ito mapapansin at ito ay nagnanakaw ng data mula sa atin, ito ay nakakapinsala sa atin, kaya walang posibleng "symbiosis". Ipinaliwanag ng Blackberry:

Ang pinagkaiba ng Symbiote sa iba pang Linux malware na karaniwan naming nararanasan ay kailangan nitong makahawa sa iba pang tumatakbong proseso upang makapagdulot ng pinsala sa mga infected na makina. Sa halip na maging isang stand-alone na executable file na pinapatakbo para makahawa sa isang makina, isa itong shared object (OS) library na naglo-load sa sarili nito sa lahat ng tumatakbong proseso gamit ang LD_PRELOAD (T1574.006), at parasitiko na nakakahawa sa makina. Kapag na-infect na nito ang lahat ng tumatakbong proseso, binibigyan nito ang threat actor ng rootkit functionality, ang kakayahang mangolekta ng mga kredensyal, at remote access na kakayahan.

Natukoy ito noong Nobyembre 2021

Unang nakita ng Blackberry ang Symbiote noong Nobyembre 2021, at mukhang ang kanilang destinasyon ay ang sektor ng pananalapi ng Latin America. Kapag nahawahan na nito ang aming computer, itinatago nito ang sarili nito at ang anumang malware na ginagamit ng banta, na nagpapahirap sa pagtukoy ng mga impeksiyon. Nakatago ang lahat ng iyong aktibidad, kabilang ang aktibidad sa network, na ginagawang halos imposibleng malaman na naroroon ito. Ngunit ang masamang bagay ay hindi iyon, ngunit nagbibigay ito ng backdoor upang makilala ang sarili bilang sinumang user na nakarehistro sa computer na may password na may malakas na pag-encrypt, at maaaring magsagawa ng mga utos na may pinakamataas na pribilehiyo.

Ito ay kilala na umiiral, ngunit ito ay nahawahan ng napakakaunting mga computer at walang nakitang ebidensya na napaka-target o malawak na pag-atake ang ginamit. Ginagamit ng Symbiote ang Berkeley Packet Filter upang itago ang malisyosong trapiko ng nahawaang computer:

Kapag sinimulan ng isang administrator ang anumang packet capture tool sa infected na makina, ang BPF bytecode ay ini-inject sa kernel na tumutukoy kung aling mga packet ang dapat makuha. Sa prosesong ito, unang idinagdag ng Symbiote ang bytecode nito upang ma-filter nito ang trapiko sa network na ayaw nitong makita ng packet capture software.

Nagtatago ang Symbiote bilang pinakamahusay na Gorgonite (maliit na mandirigma)

Idinisenyo ang Symbiote na i-load ng linker sa pamamagitan ng LD_PRELOAD. Nagbibigay-daan ito sa pag-load bago ang anumang iba pang nakabahaging bagay. Dahil na-load nang mas maaga, maaari nitong i-hijack ang mga pag-import mula sa iba pang mga file ng library na na-load ng application. Ginagamit ito ng symbiote upang itago ang kanilang presensya nakakabit sa libc at libpcap. Kung susubukang i-access ng application sa pagtawag ang isang file o folder sa loob ng /proc, aalisin ng malware ang output ng mga pangalan ng proseso na nasa listahan nito. Kung hindi nito sinusubukang i-access ang anumang bagay sa loob ng /proc, pagkatapos ay aalisin nito ang resulta mula sa listahan ng file.

Tinapos ng Blackberry ang artikulo nito na nagsasabing nakikipag-usap tayo sa isang napaka-mailap na malware. Ang kanilang layunin ay makakuha ng mga kredensyal at magbigay ng backdoor sa mga nahawaang computer. Napakahirap ma-detect, kaya ang tanging maaasahan natin ay mailalabas ang mga patch sa lalong madaling panahon. Ito ay hindi kilala na ginamit nang marami, ngunit ito ay mapanganib. Mula dito, gaya ng nakasanayan, tandaan ang kahalagahan ng paglalapat ng mga patch ng seguridad sa sandaling magagamit ang mga ito.


Iwanan ang iyong puna

Ang iyong email address ay hindi nai-publish. Mga kinakailangang patlang ay minarkahan ng *

*

*

  1. Responsable para sa data: AB Internet Networks 2008 SL
  2. Layunin ng data: Kontrolin ang SPAM, pamamahala ng komento.
  3. Legitimation: Ang iyong pahintulot
  4. Komunikasyon ng data: Ang data ay hindi maiparating sa mga third party maliban sa ligal na obligasyon.
  5. Imbakan ng data: Ang database na naka-host ng Occentus Networks (EU)
  6. Mga Karapatan: Sa anumang oras maaari mong limitahan, mabawi at tanggalin ang iyong impormasyon.

  1.   ja dijo
    nakararaan 2 taon

    at kailangan mong magbigay ng mga nakaraang pahintulot sa ugat upang mai-install ito, tama ba?

    Tumugon kay ja