Специалисты BlackBerry и Intezer рассказали (1, 2) о новом Linux-вредоносе Symbiote, который поражает все запущенные процессы в скомпрометированных системах, похищает учетные данные и предоставляет своим операторам бэкдор-доступ.

Внедряясь во все запущенные процессы, малварь действует как общесистемный паразит, при этом не оставляя заметных признаков заражения, так что обнаружить Symbiote сложно даже при тщательном и углубленном изучении.

Считается, что разработка Symbiote началась в ноябре 2021 года, после чего злоумышленники в основном использовали малварь для атак на финансовый сектор в Латинской Америке, включая такие банки, как Banco do Brasil и Caixa.

«Основная цель Symbiote — получить учетные данные и облегчить бэкдор-доступ к машине жертвы, — пишут эксперты. — Что отличает Symbiote от других вредоносных программ для Linux, так это то, что он заражает запущенные процессы, а не использует для нанесения ущерба отдельный исполняемый файл».

Вместо обычного исполняемого файла Symbiote представляет собой библиотеку shared object (SO), которая загружается в запущенные процессы с помощью функции LD_PRELOAD, чтобы динамический компоновщик загружал вредоноса во все запущенные процессы и заражал хост. Такой подход ранее использовался и другой малварью, включая Pro-Ocean и Facefish. Также эти действия помогают вредоносу получить приоритет по сравнению с другими SO.

Таким образом, с помощью функций libc и libpcap, Symbiote может выполнять различные действия, чтобы скрыть свое присутствие в системе. Например, скрывать паразитические процессы, скрывать файлы, развернутые с  малварью и так далее.

Помимо сокрытия присутствия в файловой системе, Symbiote также способен скрывать свой сетевой трафик, используя Berkeley Packet Filter (BPF). Это осуществляется путем внедрения малвари в процесс и использования BPF для фильтрации результатов, раскрывающих ее деятельность.

«Если администратор запустит захват пакетов на зараженной машине для изучения подозрительного сетевого трафика, Symbiote внедрит себя в процесс аналитического ПО и использует BPF для фильтрации результатов, которые могли бы помочь выявить его активность», — говорят эксперты.

По данным исследователей, сейчас Symbiote в основном используется для автоматического сбора учетных данных со взломанных устройств (через libc read). Дело в том, что кража учетных данных администратора открывает атакующим путь к беспрепятственному боковому перемещению и дает неограниченный доступ ко всей системе.

Кроме того, Symbiote предоставляет своим операторам удаленный SHH-доступ к зараженной машине через PAM, что позволяет злоумышленникам получить root-привилегии.

«Поскольку вредоносное ПО работает как руткит на уровне user-land, обнаружение заражения может быть затруднено, — резюмируют исследователи. — Сетевая телеметрия может использоваться для обнаружения аномальных DNS-запросов, а инструменты безопасности, такие как AV и EDR, должны быть статически скомпонованы, чтобы гарантировать, что они не “заражены” руткитом».

  • Подпишись на наc в Telegram!

    Только важные новости и лучшие статьи

    Подписаться

  • Подписаться
    Уведомить о
    0 комментариев
    Межтекстовые Отзывы
    Посмотреть все комментарии