Εμφάνιση 1-4 από 4
  1. #1
    Εγγραφή
    22-09-2003
    Μηνύματα
    79.771
    Downloads
    218
    Uploads
    48
    Άρθρα
    6
    Τύπος
    VDSL2
    Ταχύτητα
    204800/20480
    ISP
    Wind
    Router
    Technicolor DGA4130
    SNR / Attn
    6(dB) / 2.8(dB)
    Path Level
    Interleaved
    Security
    Οι ερευνητές έχουν ανακαλύψει Κάτι που δεν συμβαίνει τόσο συχνά στη σφαίρα του κακόβουλου λογισμικού: μια ώριμη, πρωτόγνωρη κερκόπορτα Linux που χρησιμοποιεί νέες τεχνικές αποφυγής για να αποκρύψει την παρουσία της σε μολυσμένους διακομιστές, σε ορισμένες περιπτώσεις ακόμη και με εξελιγμένη έρευνα.

    Την Πέμπτη, οι ερευνητές της Intezer και της ομάδας The BlackBerry Threat Research & Intelligence Team δήλωσαν ότι η προηγουμένως μη ανιχνευμένη κερκόπορτα συνδυάζει υψηλά επίπεδα πρόσβασης με την ικανότητα να διαγράφει κάθε σημάδι μόλυνσης από το σύστημα αρχείων, τις διεργασίες του συστήματος και την κυκλοφορία του δικτύου. Με την ονομασία Symbiote, στοχεύει σε χρηματοπιστωτικά ιδρύματα στη Βραζιλία και εντοπίστηκε για πρώτη φορά τον Νοέμβριο.

    Οι ερευνητές της Intezer και της BlackBerry έγραψαν:

    Αυτό που κάνει το Symbiote να διαφέρει από άλλα κακόβουλα προγράμματα Linux που συνήθως συναντάμε, είναι ότι χρειάζεται να μολύνει άλλες διεργασίες που εκτελούνται για να προκαλέσει ζημιά στα μολυσμένα μηχανήματα. Αντί να είναι ένα αυτόνομο εκτελέσιμο αρχείο που εκτελείται για να μολύνει ένα μηχάνημα, είναι μια βιβλιοθήκη κοινόχρηστων αντικειμένων (SO) που φορτώνεται σε όλες τις εκτελούμενες διεργασίες χρησιμοποιώντας το LD_PRELOAD (T1574.006) και μολύνει παρασιτικά το μηχάνημα. Μόλις μολύνει όλες τις εκτελούμενες διεργασίες, παρέχει στον απειλητικό παράγοντα λειτουργικότητα rootkit, τη δυνατότητα να συλλέγει διαπιστευτήρια και δυνατότητα απομακρυσμένης πρόσβασης.

    Με τη βοήθεια του LD_PRELOAD, το Symbiote φορτώνει πριν από οποιαδήποτε άλλα κοινόχρηστα αντικείμενα. Αυτό επιτρέπει στο κακόβουλο λογισμικό να αλλοιώσει άλλα αρχεία βιβλιοθήκης που φορτώνονται για μια εφαρμογή. Η παρακάτω εικόνα δείχνει μια σύνοψη όλων των τεχνικών αποφυγής του κακόβουλου λογισμικού.

    Το BPF στην εικόνα αναφέρεται στο Berkeley Packet Filter, το οποίο επιτρέπει στους ανθρώπους να αποκρύπτουν κακόβουλη δικτυακή κίνηση σε ένα μολυσμένο μηχάνημα.

    "Όταν ένας διαχειριστής εκκινεί οποιοδήποτε εργαλείο συλλογής πακέτων στο μολυσμένο μηχάνημα, εισάγεται στον πυρήνα bytecode BPF που ορίζει ποια πακέτα πρέπει να συλλεχθούν", έγραψαν οι ερευνητές. "Σε αυτή τη διαδικασία, το Symbiote προσθέτει πρώτα τον δικό του bytecode, ώστε να μπορεί να φιλτράρει την κυκλοφορία δικτύου που δεν θέλει να δει το λογισμικό σύλληψης πακέτων".

    Μία από τις μυστικές τεχνικές που χρησιμοποιεί το Symbiote είναι γνωστή ως libc function hooking. Αλλά το κακόβουλο λογισμικό χρησιμοποιεί το hooking και στο ρόλο του ως εργαλείο κλοπής δεδομένων. "Η συλλογή διαπιστευτηρίων πραγματοποιείται με το hooking της συνάρτησης libc read", έγραψαν οι ερευνητές. "Εάν μια διεργασία ssh ή scp καλεί τη συνάρτηση, συλλαμβάνει τα διαπιστευτήρια".

    Μέχρι στιγμής, δεν υπάρχουν ενδείξεις για μολύνσεις, παρά μόνο δείγματα κακόβουλου λογισμικού που βρέθηκαν στο διαδίκτυο. Είναι απίθανο αυτό το κακόβουλο λογισμικό να είναι ευρέως ενεργό αυτή τη στιγμή, αλλά με τόσο ισχυρή μυστικότητα, πώς μπορούμε να είμαστε σίγουροι;

    Translated with www.DeepL.com/Translator (free version)

    Πηγή : Ars Technica

  2. #2
    Εγγραφή
    05-05-2009
    Περιοχή
    Παλαιό Φάληρο
    Μηνύματα
    11.000
    Downloads
    0
    Uploads
    0
    Ταχύτητα
    FTTH Φως το αληθ
    ISP
    OTE
    Router
    Fritz 7590
    Oi άνθρωποι, θα επιζήσουμε.
    Μας την έπεσε ο Πούτιν και οι Κινέζοι.
    No fm radio ?
    No headphone jack ?

    Sorry no phone.

  3. #3
    Εγγραφή
    30-09-2005
    Ηλικία
    45
    Μηνύματα
    6.963
    Downloads
    6
    Uploads
    0
    Δε μας λέει πως εγκαθίσταται όμως. Αφού είναι shared library λογικά πρέπει να τρέξεις κάτι τοπικά (ή να μπει μέσω άλλου exploit που έχει δυνατότητα download). Αν τρέξεις κάτι μολυσμένο προφανώς θα έχεις πρόβλημα είτε είναι αυτό είτε οτιδήποτε άλλο. Απλά σε αυτή την περίπτωση μπορεί να μην το πάρεις χαμπάρι.

    Παράθεση Αρχικό μήνυμα από dimitri_ns Εμφάνιση μηνυμάτων
    Oi άνθρωποι, θα επιζήσουμε.
    Μας την έπεσε ο Πούτιν και οι Κινέζοι.
    Αυτό απο που προκύπτει;
    If the facts don't fit the theory, change the facts.
    Albert Einstein


  4. #4
    Εγγραφή
    12-09-2012
    Μηνύματα
    25
    Downloads
    0
    Uploads
    0
    ISP
    ΟΤΕ Conn-x
    Παράθεση Αρχικό μήνυμα από aiolos.01 Εμφάνιση μηνυμάτων
    Δε μας λέει πως εγκαθίσταται όμως. Αφού είναι shared library λογικά πρέπει να τρέξεις κάτι τοπικά (ή να μπει μέσω άλλου exploit που έχει δυνατότητα download). Αν τρέξεις κάτι μολυσμένο προφανώς θα έχεις πρόβλημα είτε είναι αυτό είτε οτιδήποτε άλλο. Απλά σε αυτή την περίπτωση μπορεί να μην το πάρεις χαμπάρι.
    Όπως το καταλαβαίνω μέσω exploit μεταδίδεται, απλά αντί να μολύνει κάποιο binary αρχείο πάει και κάθεται σε κοινόχρηστες βιβλιοθήκες. Έτσι όταν εκτελεστεί ένα πρόγραμμα που χρησιμοποιεί αυτή τη βιβλιοθήκη, τρέχει και ο κώδικάς του. Πολύ έξυπνο!

Tags για αυτό το Θέμα

Bookmarks

Bookmarks

Δικαιώματα - Επιλογές

  • Δεν μπορείτε να δημοσιεύσετε νέα θέματα
  • Δεν μπορείτε να δημοσιεύσετε νέα μηνύματα
  • Δεν μπορείτε να αναρτήσετε συνημμένα
  • Δεν μπορείτε να επεξεργαστείτε τα μηνύματα σας
  •  
  • Τα BB code είναι σε λειτουργία
  • Τα Smilies είναι σε λειτουργία
  • Το [IMG] είναι σε λειτουργία
  • Το [VIDEO] είναι σε λειτουργία
  • Το HTML είναι εκτός λειτουργίας