Symbiote adlı gizli bir Linux tehdidi, kötü amaçlı yazılım tarafından gizlenen tüm dosya, süreç ve ağ yapılarıyla Latin Amerika’daki finans kurumlarını hedef alıyor ve canlı adli tıp tarafından tespit edilmesini neredeyse görünmez kılıyor.
BlackBerry Research tarafından yayınlanan bir blog gönderisine göre, kötü amaçlı yazılım ilk olarak Kasım ayında ortaya çıktı. Symbiote’u diğer Linux kötü amaçlı yazılımlarından ayıran şey, zarar vermek için tek başına yürütülebilir bir dosya kullanmak yerine çalışan süreçlere bulaşma yaklaşımıdır.
Ardından, tehdit aktörüne uzaktan erişim sağlamak için kimlik bilgilerini toplar, kimlik bilgilerini sızdırmanın yanı sıra bunları yerel olarak depolar.
Intezer’de güvenlik araştırmacısı ve kitabın yazarı Joakim Kennedy, “Bir rootkit olarak çalışır ve makinedeki varlığını gizler. Makineye tamamen bulaştıktan sonra, yalnızca görmenizi istediği şeyi görmenize izin verir.” BlackBerry blog yazısı, açıklar. “Aslında, makinenin sana söylediklerine güvenemezsin.”
Ancak, DNS istekleri aracılığıyla çalınan kimlik bilgilerini sızdırdığı için harici olarak tespit edilebileceğini söylüyor.
Kennedy, kötü amaçlı yazılımın kullandığı alan adlarının Brezilya’daki büyük bankaları taklit ettiğini ve bunun da radarın altında kalmasına yardımcı olduğunu söylüyor.
“Yalnızca bulduklarımıza dayanarak bir şey söyleyemesek de, finansal kurumları hedef alan saldırganlar genellikle potansiyel parasal kazançla motive oluyor” diyor.
Paylaşılan Nesne Kitaplığı
Digital Shadows’ta kıdemli siber tehdit istihbarat analisti Nicole Hoffman, çoğu kötü amaçlı yazılım çeşidinin aksine, Symbiote kötü amaçlı yazılımının yürütülebilir bir dosya yerine paylaşılan bir nesne kitaplığı olduğuna dikkat çekiyor.
Symbiote, diğer paylaşılan nesne kitaplıklarından önce uygulamalar tarafından önceden yüklenmesine izin veren LD_PRELOAD değişkenini kullanır.
“Bu, kötü amaçlı yazılımın, Symbiote’un tespit edilmesinin zor olmasının nedenlerinden biri olan meşru çalışan süreçler ve uygulamalarla uyum sağlamasına yardımcı olabilecek karmaşık ve kaçamak bir tekniktir” diyor.
Kötü amaçlı yazılım ayrıca Berkeley Paket Filtresi (BPF) kancalama işlevine de sahiptir. Paket yakalama araçları, genellikle bir araştırma amacıyla ağ trafiğini yakalar veya yakalar.
BPF, kullanıcıların gerçekleştirdikleri araştırma türüne bağlı olarak belirli paketleri filtrelemesine olanak tanıyan ve genel sonuçları azaltabilen ve analizi kolaylaştıran birkaç Linux işletim sistemi içine yerleştirilmiş bir araçtır.
Hoffman, “Symbiote kötü amaçlı yazılımı, trafiğini paket yakalama sonuçlarından filtrelemek için tasarlandı,” diye açıklıyor. “Bu, saldırganların izlerini örtmek ve radarın altından uçmak için kullandıkları bir başka gizlilik katmanından başka bir şey değil.”
Kennedy, BPF kancalama işlevinin bu şekilde çalıştığı ilk kez gözlemlendiğini ekliyor ve diğer kötü amaçlı yazılım türevlerinin komut ve kontrol sunucularından komut almak için tipik olarak BPF’yi kullandığına dikkat çekiyor.
“Bu kötü amaçlı yazılım, bunun yerine ağ etkinliğini gizlemek için bu yöntemi kullanıyor” diyor. “Birisi virüslü makineyi araştırırsa tespit edilmesini önlemek için kötü amaçlı yazılım tarafından kullanılan aktif bir önlemdir – örneğin, izini sürmeyi zorlaştırmak için ayak izlerini örtmek gibi.”
Saldırı Daha Kolay mı?
Vulcan Cyber’de kıdemli teknik mühendis olan Mike Parkin, saldırganın Latin Amerika’daki hedeflerin daha az olgun bir güvenlik altyapısına sahip olduğu ve bu nedenle saldırmanın daha kolay olacağı yönünde bir algı olabileceğini söylüyor.
Saldırganların, kötü amaçlı yazılımlarını virüslü sistemde çalışan her şeyden gizlemek için kendi yollarından çıktıklarını ve iletişim trafiğini gizlemek için BPF’den yararlandıklarını açıklıyor.
“Bu, yerel ana bilgisayarda çalışacak olsa da, diğer ağ izleme araçları, düşman trafiğini ve virüslü kaynağı tanımlayabilecek” diyor.
Bir kurban sistemindeki değişiklikleri tanımlaması gereken birkaç uç nokta aracının mevcut olduğunu açıklıyor.
“Kötü amaçlı yazılımın varlığını ortaya çıkarmak için ona karşı kendi davranışını kullanabilen adli teknikler de var” diye belirtiyor. “Symbiote’u yaratan yazarlar, kötü amaçlı yazılımlarını gizlemek için büyük çaba harcadılar. Tekniklerin bir kombinasyonundan yararlandılar, ancak bunu yaparken savunucuların bir enfeksiyonu yerinde tespit etmek için kullanabilecekleri bazı uzlaşma göstergeleri sağladılar.”
Kennedy, Symbiote’a veya aynı tekniği kullanan başka bir saldırıya karşı koruyor olun, en önemli eylemin bu kötü amaçlı yazılım tarafından kullanılan tekniklere odaklanmak olduğunu söylüyor.
“Symbiote’un ve yakın zamanda keşfedilen diğer tespit edilmemiş Linux kötü amaçlı yazılımlarının, Windows dışındaki işletim sistemlerinin yüksek oranda kaçan kötü amaçlı yazılımlara karşı bağışık olmadığını gösterdiğini söyleyebilirim” diyor. “Windows kötü amaçlı yazılımları kadar ilgi görmediğinden, henüz keşfedilmemiş başka ne olduğunu bilmiyoruz.”