A Symbiote Linux kártevő a radar alatt repül

A BlackBerry Threat Research biztonsági szakértői közös kutatási bejegyzést tettek közzé a Linux rosszindulatú programjainak egy új törzséről, a Symbiote-ról.

A rosszindulatú programot először 2022 elején fedezték fel. Legfőbb fénypontja az, hogy milyen nehéz észlelni – a csapat a Symbiote-ot "szinte lehetetlennek" nevezi a rendszeren.

A Symbiote megosztott objektumkönyvtárként működik a célrendszeren, ellentétben a legtöbb Linux rosszindulatú szoftverrel, amely a már futó folyamatok kompromittálására törekszik. Ehelyett a Symbiote a VIA_PRELOAD használatával betöltődik az áldozat rendszeren futó összes folyamatba.

A teljes üzembe helyezés után a Symbiote rootkit-képességeket kínál üzemeltetőinek. A rosszindulatú program a Berkeley Packet Filter hooking-ot használja, amely lehetővé teszi a rosszindulatú csomagforgalom elfedését a fertőzött rendszeren. A kutatók elmagyarázták, hogy ha egy rendszergazda csomagrögzítő és -figyelő eszközt próbál használni rosszindulatú tevékenységek keresésére, a Symbiote Berkeley Packet Filter bájtkódot fecskendez be, amely megmondja a kernelnek, hogy mely csomagokat kell rögzíteni, lehetővé téve a kártevő számára, hogy alakítsa a elfog.

A Symbiote nagyon alacsony profilt tart, és a rendszeren lévő összes többi megosztott objektum előtt előre betöltődik, ami lehetővé teszi, hogy rejtve maradjon. Ezenkívül hitelesítő adatokat gyűjthet a feltört rendszerekről.

A Symbiote kártevő legkorábban felfedezett mintája 2021 végén származik, és valószínűleg dél-amerikai bankintézetek megcélzására használták.