Daha dün, sahip olduklarını bildirdiğimiz bir makale yayınladık. GRUB'daki 7 güvenlik açığı düzeltildi Linux'un. Ve biz buna alışık değiliz ya da sadece yanlış: Elbette Windows, macOS ve hatta var olan en kapalı sistemler olan iOS/iPadOS'ta olduğu gibi Linux'ta güvenlik kusurları ve virüsler var. Mükemmel sistem mevcut değil ve bazıları daha güvenli olsa da güvenliğimizin bir kısmı, pazar payı az olan bir işletim sistemi kullanmamızdan kaynaklanıyor. Ancak küçük sıfır değildir ve bu, yaratıcılar gibi kötü niyetli geliştiriciler tarafından bilinir. symbiote.
Geçen Perşembe Blackberry'ydi. alarm çaldı, tehdidin adını açıklamaya çalıştığında pek iyi başlamasa da. Bir ortakyaşamın başka bir organizma ile ortakyaşam içinde yaşayan bir organizma olduğunu söylüyor. Şimdiye kadar iyi gidiyoruz. O kadar iyi olmayan şey, bazen bir ortakyaşamın olabileceğini söylemesi. parazit diğerine fayda ve zarar verdiğinde, ancak olmadığında veya biri veya diğerinde: köpekbalığı ve remora gibi her ikisi de fayda sağlıyorsa, bu bir ortak yaşamdır. Remora köpekbalığına zarar verdiyse, otomatik olarak bir parazite dönüşecekti, ancak bu bir biyoloji dersi veya deniz belgeseli değil.
Symbiote, hasara neden olmak için diğer süreçleri bozar
Yukarıda açıklanan, Symbiote bir parazitten daha fazlası olamaz. Adı belki de buradan geliyor olmalı. varlığını fark etmiyoruz. Farkına varmadan virüslü bir bilgisayar kullanıyor olabiliriz, ancak fark etmezsek ve bizden veri çalıyorsa, bize zarar veriyor demektir, yani olası bir "ortak yaşam" yoktur. Blackberry'nin açıklaması şu şekilde:
Symbiote'u sıklıkla karşılaştığımız diğer Linux kötü amaçlı yazılımlarından farklı kılan şey, virüslü makinelere zarar vermek için çalışan diğer işlemlere bulaşması gerekmesidir. Bir makineye bulaşmak için çalıştırılan tek başına yürütülebilir bir dosya olmaktan ziyade, kendisini LD_PRELOAD (T1574.006) kullanarak çalışan tüm işlemlere yükleyen ve makineye parazit olarak bulaşan paylaşılan bir nesne (OS) kitaplığıdır. Çalışan tüm süreçlere bulaştıktan sonra, tehdit aktörüne rootkit işlevselliği, kimlik bilgileri toplama yeteneği ve uzaktan erişim yeteneği sağlar.
Kasım 2021'de tespit edildi
Blackberry, Symbiote'u ilk olarak Kasım 2021'de gördü ve öyle görünüyor ki Hedefleri Latin Amerika'nın finans sektörü. Bilgisayarımıza bulaştıktan sonra, kendisini ve tehdit tarafından kullanılan diğer kötü amaçlı yazılımları gizleyerek bulaşmaları tespit etmeyi çok zorlaştırır. Ağ etkinliği de dahil olmak üzere tüm etkinliğiniz gizlenir ve orada olduğunu bilmek neredeyse imkansız hale gelir. Ancak kötü olan, öyle olması değil, güçlü şifrelemeye sahip bir parola ile bilgisayarda kayıtlı herhangi bir kullanıcı olarak kendisini tanımlamak için bir arka kapı sağlaması ve en yüksek ayrıcalıklarla komutları çalıştırabilmesidir.
Var olduğu biliniyor, ancak çok az bilgisayara bulaştı ve çok hedefli veya geniş saldırıların kullanıldığına dair hiçbir kanıt bulunamadı. Symbiote, Berkeley Paket Filtresini kullanır. kötü niyetli trafiği gizle virüslü bilgisayarın:
Bir yönetici, virüslü makinede herhangi bir paket yakalama aracını başlattığında, hangi paketlerin yakalanması gerektiğini tanımlayan çekirdeğe BPF bayt kodu enjekte edilir. Bu süreçte Symbiote, paket yakalama yazılımının görmesini istemediği ağ trafiğini filtreleyebilmek için önce kendi bayt kodunu ekler.
Sembiyot en iyi Gorgonit olarak gizlenir (küçük savaşçılar)
Symbiote, bağlayıcı tarafından LD_PRELOAD aracılığıyla yüklenmek üzere tasarlanmıştır. Bu, diğer paylaşılan nesnelerden önce yüklenmesine izin verir. Daha önce yüklendiğinden, uygulama tarafından yüklenen diğer kitaplık dosyalarından içe aktarmayı ele geçirebilir. Ortakyaşam bunu kullanır varlıklarını gizlemek libc ve libpcap'a bağlanmak. Çağıran uygulama /proc içindeki bir dosyaya veya klasöre erişmeye çalışırsa, kötü amaçlı yazılım, listesindeki işlem adlarının çıktısını kaldırır. /proc içindeki herhangi bir şeye erişmeye çalışmazsa, sonucu dosya listesinden kaldırır.
Blackberry makalesini, çok zor bir kötü amaçlı yazılımla uğraştığımızı söyleyerek bitiriyor. Onların amaç kimlik bilgilerini almak ve virüslü bilgisayarlara bir arka kapı sağlar. Tespit etmek çok zor, bu yüzden umabileceğimiz tek şey, yamaların mümkün olan en kısa sürede piyasaya sürülmesi. Çok kullanıldığı bilinmemekle birlikte tehlikelidir. Buradan, her zaman olduğu gibi, güvenlik yamalarını hazır olur olmaz uygulamanın önemini unutmayın.
ve onu kurabilmek için önceki kök izinlerini vermeniz gerekiyor, değil mi?