Symbiote, opdaget af Blackberry-forskere, er en ny Linux malware designet til at inficere alle kørende processer på inficerede maskiner. Malwaren er i stand til at stjæle kontooplysninger og give bagdørsadgang til sine operatører.
Et kig på Symbiote Linux Malware
Den første opdagelse af malwaren skete i november 2021, da det blev opdaget i angreb mod finansielle organisationer i Latinamerika. Malwaren er i stand til at skjule sig selv efter infektionen, gør det meget svært at opdage.
Endvidere, forskerne sagde, at selv levende retsmedicin måske ikke afslører noget som alle filerne, processer, og netværksartefakter er skjult (a.k.a. Rootkit-funktioner). Ud over rootkittet, malwaren giver også en bagdør, der gør det muligt for trusselsaktører at logge ind som enhver bruger på den kompromitterede maskine via en hårdkodet adgangskode. Det næste trin er at udføre kommandoer med de højeste privilegier.
”Da det er ekstremt undvigende, en Symbiote-infektion vil sandsynligvis "flyve under radaren." I vores forskning, vi har ikke fundet beviser nok til at afgøre, om Symbiote bliver brugt i meget målrettede eller brede angreb,”Hedder det i rapporten.
Et af de mest nysgerrige tekniske aspekter af malwaren er det såkaldte Berkeley Packet Filter (BPF) hooking funktionalitet. Selvom dette ikke er den første Linux-malware, der bruger denne funktionalitet, i tilfælde af Symbiote bruges hooking til at skjule ondsindet netværkstrafik på den kompromitterede maskine. Andre eksempler på malware, der bruger funktionaliteten, omfatter avancerede bagdøre, der tilskrives Equation-trusselsgruppen.
Når en administrator starter et hvilket som helst pakkeopsamlingsværktøj, BPF-bytekoden injiceres i kernen, der definerer hvilke pakker der skal fanges.
"I denne proces, Symbiote tilføjer først sin bytekode, så den kan filtrere netværkstrafik fra, som den ikke ønsker, at pakkeopsamlingssoftwaren skal se,”Tilføjede forskerne.
Fuld teknisk videregivelse er tilgængelig i den originale Blackberry-rapport. Andre eksempler på nylige malware-prøver rettet mod Linux-miljøet omfatter Cheerscrypt ransomware og SysJoker bagdør.
Milena Dimitrova
En inspireret forfatter og indholdschef, der har været hos SensorsTechForum siden projektets start. En professionel med 10+ års erfaring med at skabe engagerende indhold. Fokuseret på brugernes privatliv og malware udvikling, hun tror stærkt på en verden, hvor cybersikkerhed spiller en central rolle. Hvis almindelig sund fornuft giver ingen mening, hun vil være der til at tage noter. Disse noter senere kan blive til artikler! Følg Milena @Milenyim
Følg mig: