Исследователи выяснили, как работает и на что способен новый вирус для Linux — Symbiote. Специалисты утверждают, что обнаружить его практически невозможно, пишет Intezer. И вот, почему.
Впервые обнаружили Symbiote в ноябре 2021 года — предположительно, он был написан для финансового сектора в Латинской Америке, так как доменные имена иногда выдают себя за крупные бразильские банки. После заражения компьютера вирус полностью скрывает себя и любое другое вредоносное ПО, используемое злоумышленниками.
Расследование на зараженной машине может ничего не выявить, поскольку все файлы, процессы и сетевые артефакты скрыты вредоносной программой. В дополнение к возможностям руткита вредоносное ПО предоставляет злоумышленнику лазейку для входа в систему и выполнения команд с наивысшими привилегиями.
Поскольку вирус чрезвычайно уклончив, заражение Symbiote незаметно. Это не отдельный исполняемый файл, а библиотека общих объектов, которая загружается во все запущенные процессы с помощью LD_PRELOAD (это позволяет загружать его перед любыми другими объектами) и заражает компьютер.
Одной из необычных особенностей является функция перехвата пакетов Berkeley Packet Filter (BPF). Вирус использует ее для сокрытия вредоносного сетевого трафика на зараженном компьютере. Когда администратор запускает любой инструмент захвата пакетов на зараженной машине, байт-код BPF внедряется в ядро, которое определяет, какие пакеты должны быть захвачены. В этом процессе Symbiote сначала добавляет свой байт-код, чтобы он мог отфильтровать сетевой трафик, который не должен видеть программное обеспечение для захвата пакетов.
Инфографика Intezer
Вредоносная программа Symbiote скрывает не только свое присутствие, но и других файлов, связанных с вредоносной программой, развернутой вместе с ней.
Цель вредоносной программы — сбор учетных данных и предоставление удаленного доступа к компьютеру. Последнее происходит через перехват нескольких функций Linux Pluggable Authentication Module (PAM): расставленные ловушки позволяют злоумышленнику аутентифицироваться на компьютере с любой службой, использующей PAM. Сюда входит, например, Secure Shell. После аутентификации Symbiote предоставляет функциональные возможности для получения root-прав. Злоумышленник может делать в вашем компьютере что угодно — красть файлы или использовать мощности для майнинга крипты (хотя, учитывая курс, это маловероятно).
Из-за того, что вирус работает как руткит пользовательского уровня, найти его будет непросто. Для обнаружения аномальных DNS-запросов может использоваться сетевая телеметрия. Инструменты безопасности — EDR и антивирус — должны быть статически связаны, чтобы гарантировать, что они не «заражены» руткитами. Только так они могут быть эффективны.
Сегодня мы поговорим о том, как выбрать лучшие курсы Power BI в Украине, особенно для…
В 2023 году во всех крупнейших регионах конкуренция за вакансию выросла на 5–12%. Не исключением…
Unicorn Hunter/Talent Manager Лина Калиш создала бесплатный трекер поиска работы в Notion, систематизирующий все этапы…
Edtech-стартап Mate academy принял решение отправить своих работников в десятидневный отпуск – с 25 декабря…
Служба безопасности Украины задержала в Киеве 46-летнего программиста, который за деньги устанавливал шпионские программы и…
IT-специалист Джордан Катлер создал и выложил на Github подборку разнообразных ресурсов, которые помогут достичь уровня…