یک بدافزار لینوکس تازه کشف شده به نام Symbiote همه فرآیندهای در حال اجرا را در سیستمهای در معرض خطر آلوده میکند، اعتبار حساب را میدزدد و به اپراتورهای خود دسترسی به درب پشتی میدهد.
پس از تزریق خود به تمامی فرآیندهای در حال اجرا، بدافزار به عنوان یک انگل در سراسر سیستم عمل می کند و هیچ نشانه قابل شناسایی از عفونت را حتی در بازرسی های دقیق و عمیق باقی نمی گذارد.
سیمبیوت از قابلیت اتصال BPF (فیلتر بسته برکلی) برای شناسایی بسته های داده شبکه و مخفی کردن کانال های ارتباطی خود از ابزارهای امنیتی استفاده می کند.
این تهدید جدید توسط محققان BlackBerry و Intezer Labs کشف و تجزیه و تحلیل شد که با هم کار کردند تا همه جنبههای بدافزار جدید را در یک گزارش فنی دقیق کشف کنند. به گفته آنها، سیمبیوت از سال گذشته در حال توسعه فعال بوده است.
عفونت در سراسر سیستم از طریق اشیاء مشترک
به جای داشتن فرم معمولی یک فایل اجرایی، Symbiote یک کتابخانه شی مشترک (SO) است که با استفاده از دستورالعمل LD_PRELOAD در فرآیندهای در حال اجرا بارگذاری می شود تا در برابر سایر SO ها اولویت پیدا کند.
با اولین بارگذاری، سیمبیوت میتواند توابع “libc” و “libpcap” را قلاب کند و اقدامات مختلفی را برای پنهان کردن حضور آن انجام دهد، مانند پنهان کردن فرآیندهای انگلی، پنهان کردن فایلهای مستقر شده با بدافزار و موارد دیگر.
محققان امنیتی در گزارشی که امروز منتشر شد نشان دادند: “وقتی بدافزار خود را به فرآیندها تزریق می کند، بدافزار می تواند نتایجی را که نمایش دهد انتخاب کند.”
“اگر مدیری برای بررسی برخی ترافیک شبکه مشکوک، ضبط بسته را روی ماشین آلوده شروع کند، Symbiote خود را به فرآیند نرم افزار بازرسی تزریق می کند و از قلاب BPF برای فیلتر کردن نتایجی که فعالیت آن را آشکار می کند، استفاده می کند.”
Symbiote برای پنهان کردن فعالیت شبکه مخرب خود در دستگاه آسیبدیده، ورودیهای اتصالی را که میخواهد مخفی کند پاک میکند، فیلتر کردن بستهها را از طریق BPF انجام میدهد و ترافیک UDP به نام دامنهها را در لیست خود حذف میکند.
درهای پشتی و سرقت اطلاعات
این بدافزار جدید مخفی عمدتاً برای جمعآوری خودکار اعتبار از دستگاههای لینوکس هک شده با اتصال تابع «libc read» استفاده میشود.
این یک ماموریت حیاتی در هنگام هدف قرار دادن سرورهای لینوکس در شبکههای با ارزش بالا است، زیرا سرقت اعتبار حساب مدیریت راه را برای حرکت جانبی بدون مانع و دسترسی نامحدود به کل سیستم باز میکند.
Symbiote همچنین به اپراتورهای خود دسترسی SHH از راه دور به دستگاه را از طریق سرویس PAM می دهد، در حالی که همچنین راهی برای عامل تهدید برای به دست آوردن امتیازات ریشه در سیستم فراهم می کند
اهداف این بدافزار عمدتاً نهادهایی هستند که در بخش مالی در آمریکای لاتین، جعل هویت بانکهای برزیل، پلیس فدرال این کشور و غیره فعالیت میکنند.
محققان نتیجه گرفتند: «از آنجایی که بدافزار به عنوان یک روت کیت در سطح کاربر عمل می کند، تشخیص عفونت ممکن است دشوار باشد.
از تله متری شبکه می توان برای شناسایی درخواست های DNS غیرعادی استفاده کرد و ابزارهای امنیتی مانند AV و EDR باید به صورت ایستا پیوند داده شوند تا اطمینان حاصل شود که توسط rootkit های سرزمین کاربر “آلوده” نمی شوند.”
انتظار میرود چنین تهدیدات پیشرفته و بسیار فراری که در حملات علیه سیستمهای لینوکس مورد استفاده قرار میگیرند، در دوره آتی به میزان قابل توجهی افزایش یابد، زیرا شبکههای شرکتی بزرگ و ارزشمند به طور گسترده از این معماری استفاده میکنند.
تنها ماه گذشته، درب پشتی مشابه دیگری به نام BPFDoor با استفاده از BPF (فیلتر بسته برکلی) برای گوش دادن غیرفعال به ترافیک شبکه ورودی و خروجی در میزبانهای آلوده مشاهده شد.
bleepingcomputer.com
بدافزار جدید Symbiote تمامی فرآیندهای در حال اجرا در سیستم های لینوکس را آلوده می کند
