Οι ερευνητές έχουν ανακαλύψει Κάτι που δεν συμβαίνει τόσο συχνά στη σφαίρα του κακόβουλου λογισμικού: μια ώριμη, πρωτόγνωρη κερκόπορτα Linux που χρησιμοποιεί νέες τεχνικές αποφυγής για να αποκρύψει την παρουσία της σε μολυσμένους διακομιστές, σε ορισμένες περιπτώσεις ακόμη και με εξελιγμένη έρευνα.
Την Πέμπτη, οι ερευνητές της Intezer και της ομάδας The BlackBerry Threat Research & Intelligence Team δήλωσαν ότι η προηγουμένως μη ανιχνευμένη κερκόπορτα συνδυάζει υψηλά επίπεδα πρόσβασης με την ικανότητα να διαγράφει κάθε σημάδι μόλυνσης από το σύστημα αρχείων, τις διεργασίες του συστήματος και την κυκλοφορία του δικτύου. Με την ονομασία Symbiote, στοχεύει σε χρηματοπιστωτικά ιδρύματα στη Βραζιλία και εντοπίστηκε για πρώτη φορά τον Νοέμβριο.
Οι ερευνητές της Intezer και της BlackBerry έγραψαν:
Αυτό που κάνει το Symbiote να διαφέρει από άλλα κακόβουλα προγράμματα Linux που συνήθως συναντάμε, είναι ότι χρειάζεται να μολύνει άλλες διεργασίες που εκτελούνται για να προκαλέσει ζημιά στα μολυσμένα μηχανήματα. Αντί να είναι ένα αυτόνομο εκτελέσιμο αρχείο που εκτελείται για να μολύνει ένα μηχάνημα, είναι μια βιβλιοθήκη κοινόχρηστων αντικειμένων (SO) που φορτώνεται σε όλες τις εκτελούμενες διεργασίες χρησιμοποιώντας το LD_PRELOAD (T1574.006) και μολύνει παρασιτικά το μηχάνημα. Μόλις μολύνει όλες τις εκτελούμενες διεργασίες, παρέχει στον απειλητικό παράγοντα λειτουργικότητα rootkit, τη δυνατότητα να συλλέγει διαπιστευτήρια και δυνατότητα απομακρυσμένης πρόσβασης.
Με τη βοήθεια του LD_PRELOAD, το Symbiote φορτώνει πριν από οποιαδήποτε άλλα κοινόχρηστα αντικείμενα. Αυτό επιτρέπει στο κακόβουλο λογισμικό να αλλοιώσει άλλα αρχεία βιβλιοθήκης που φορτώνονται για μια εφαρμογή. Η παρακάτω εικόνα δείχνει μια σύνοψη όλων των τεχνικών αποφυγής του κακόβουλου λογισμικού.
Το BPF στην εικόνα αναφέρεται στο Berkeley Packet Filter, το οποίο επιτρέπει στους ανθρώπους να αποκρύπτουν κακόβουλη δικτυακή κίνηση σε ένα μολυσμένο μηχάνημα.
"Όταν ένας διαχειριστής εκκινεί οποιοδήποτε εργαλείο συλλογής πακέτων στο μολυσμένο μηχάνημα, εισάγεται στον πυρήνα bytecode BPF που ορίζει ποια πακέτα πρέπει να συλλεχθούν", έγραψαν οι ερευνητές. "Σε αυτή τη διαδικασία, το Symbiote προσθέτει πρώτα τον δικό του bytecode, ώστε να μπορεί να φιλτράρει την κυκλοφορία δικτύου που δεν θέλει να δει το λογισμικό σύλληψης πακέτων".
Μία από τις μυστικές τεχνικές που χρησιμοποιεί το Symbiote είναι γνωστή ως libc function hooking. Αλλά το κακόβουλο λογισμικό χρησιμοποιεί το hooking και στο ρόλο του ως εργαλείο κλοπής δεδομένων. "Η συλλογή διαπιστευτηρίων πραγματοποιείται με το hooking της συνάρτησης libc read", έγραψαν οι ερευνητές. "Εάν μια διεργασία ssh ή scp καλεί τη συνάρτηση, συλλαμβάνει τα διαπιστευτήρια".
Μέχρι στιγμής, δεν υπάρχουν ενδείξεις για μολύνσεις, παρά μόνο δείγματα κακόβουλου λογισμικού που βρέθηκαν στο διαδίκτυο. Είναι απίθανο αυτό το κακόβουλο λογισμικό να είναι ευρέως ενεργό αυτή τη στιγμή, αλλά με τόσο ισχυρή μυστικότητα, πώς μπορούμε να είμαστε σίγουροι;
Translated with www.DeepL.com/Translator (free version)
Πηγή : Ars Technica
Εμφάνιση 1-4 από 4
-
10-06-22, 11:28 Ανακάλυψη ενός εξαιρετικά δύσκολα ανιχνεύσιμου Linux backdoor malware #1
- Εγγραφή
- 22-09-2003
- Μηνύματα
- 82.114
- Downloads
- 218
- Uploads
- 48
- Άρθρα
- 6
- Τύπος
- VDSL2
- Ταχύτητα
- 204800/20480
- ISP
- Wind
- Router
- Technicolor DGA4130
- SNR / Attn
- 6(dB) / 2.8(dB)
- Path Level
- Interleaved
-
10-06-22, 16:17 Απάντηση: Ανακάλυψη ενός εξαιρετικά δύσκολα ανιχνεύσιμου Linux backdoor malware #2
Oi άνθρωποι, θα επιζήσουμε.
Μας την έπεσε ο Πούτιν και οι Κινέζοι." Ούτε λαχανικά δεν θα φόρτωνα. "
----
No fm radio ?
No headphone jack ?
Sorry no phone.
-
11-06-22, 06:14 Απάντηση: Ανακάλυψη ενός εξαιρετικά δύσκολα ανιχνεύσιμου Linux backdoor malware #3
Δε μας λέει πως εγκαθίσταται όμως. Αφού είναι shared library λογικά πρέπει να τρέξεις κάτι τοπικά (ή να μπει μέσω άλλου exploit που έχει δυνατότητα download). Αν τρέξεις κάτι μολυσμένο προφανώς θα έχεις πρόβλημα είτε είναι αυτό είτε οτιδήποτε άλλο. Απλά σε αυτή την περίπτωση μπορεί να μην το πάρεις χαμπάρι.
Αυτό απο που προκύπτει;
-
11-06-22, 11:23 Απάντηση: Ανακάλυψη ενός εξαιρετικά δύσκολα ανιχνεύσιμου Linux backdoor malware #4
Bookmarks