Farklı siber güvenlik araştırmacılarının ortak bir araştırma çabası, yakın zamanda, tespit edilmesi “neredeyse imkansız” olan yeni bir Linux kötü amaçlı yazılım türü olan Symbiote’nin keşfedilmesine yol açtı. Geçen haftanın sonlarında, BlackBerry Threat Research & Intelligence ekibinden araştırmacılar, Intezer güvenlik araştırmacısı Joakim Kennedy ile birlikte, “parazitik doğası” nedeniyle Symbiote olarak adlandırılan kötü amaçlı yazılım hakkında bir blog yazısı yayınladı.
Bu araştırma ekibi Symbiote’u birkaç ay önce keşfetti. Normalde çalışan süreçleri tehlikeye atmaya çalışan tipik Linux kötü amaçlı yazılımlarından farklıdır. Bunun yerine, kendisi daha çok LD_PRELOAD aracılığıyla çalışan tüm işlemlere yüklenen bir Paylaşılan Nesne (SO) kitaplığı gibi davranır.
Araştırmacılar, paylaşılan nesne kitaplığının “parazit olarak” bir hedef makineyi tehlikeye attığını söylüyor. Kötü amaçlı yazılım, pençeleri sistemin derinliklerine indiğinde, saldırganlara rootkit işlevselliği sağlar. Bu kötü amaçlı yazılımın ilk gözlemlenen örneği Kasım 2021’e aittir ve Latin Amerika’daki finans kurumlarını hedef almak için geliştirilmiş gibi görünmektedir. Bununla birlikte, kötü amaçlı yazılımın özgün doğası, araştırmacıların, hedefli veya genel saldırılarda kullanılıp kullanılmadığını bilmelerini engeller.
Agresif ve… gizli bir kötü amaçlı yazılım
Ortakyaşamın birkaç ilginç özelliği vardır. Örneğin, kötü amaçlı yazılım, virüslü bir makinedeki kötü amaçlı trafiği gizlemek için tasarlanmış bir özellik olan Berkeley Paket Filtresi (BPF) kancasını kullanır. BPF, Equation grubu tarafından geliştirilen kötü amaçlı yazılım tarafından da kullanılır. BlackBerry, “Bir yönetici, virüslü makinede bir paket yakalama aracı başlattığında, çekilecek paketleri tanımlayan çekirdeğe BPF bayt kodu enjekte edilir” diye açıklıyor. “Bu süreçte Symbiote, paket yakalama yazılımının görmesini istemediği ağ trafiğini filtreleyebilmek için önce kendi bayt kodunu ekler. »
Bu Linux kötü amaçlı yazılımının en etkileyici unsurlarından biri, gizliliğidir. Diğer paylaşılan nesnelerden önce önceden yüklenmiş olarak, varlığını gizlemek için belirli işlevleri (özellikle libc ve libpcap) bağlayabilir.
Symbiote ile ilişkili diğer dosyalar da gizlenir ve ağ girişleri sürekli olarak temizlenir.
Yeni bir kötü amaçlı yazılım
Symbiote ayrıca libc okuma işlevine bağlanarak kimlik bilgilerini toplayabilir ve Linux Takılabilir Kimlik Doğrulama Modülü (PAM) işlevlerine bağlanarak uzaktan erişimi kolaylaştırır.
Kötü amaçlı yazılımın bir örneği, Google’ın siber güvenlik uzmanları tarafından iyi bilinen certbotx64 olarak bilinen VirusTotal platformuna yüklendi. Keşfinin arkasındaki araştırma ekibi, gönderimler ana kötü amaçlı yazılım altyapısı yayınlanmadan önce yapıldığından, yüklemelerin antivirüs testi ve tespit amacıyla yapılmış olabileceğinden şüpheleniyor.
“Örnekleri Intezer Analyze ile ilk analiz ettiğimizde yalnızca benzersiz bir kod tespit edildi” diye açıklıyorlar. “Symbiote ve Ebury/Windigo veya diğer kötü amaçlı yazılımlar arasında hiçbir kod paylaşılmadığından [Linux] Symbiote’un yeni, keşfedilmemiş bir Linux kötü amaçlı yazılımı olduğu sonucuna güvenle varabiliriz. »
Kaynak : ZDNet.com
