O novo backdoor ultra-secreto do Linux não é sua detecção diária de malware

By | Junho 10, 2022

Pesquisadores descobriram uma descoberta que não acontece com tanta frequência no campo do malware: um backdoor Linux maduro e nunca antes visto que usa novas técnicas de prevenção para disfarçar sua presença em servidores infectados, em alguns casos até com investigação forense.

Na quinta-feira, pesquisadores da Intezer e Equipe de pesquisa e inteligência de ameaças da BlackBerry disse que o backdoor anteriormente não detectado combina um alto nível de acesso com a capacidade de limpar qualquer sinal de infecção do sistema de arquivos, processos do sistema e tráfego de rede. Batizado de Symbiote, visa instituições financeiras no Brasil e foi apresentado pela primeira vez em novembro.

Pesquisadores da Intezer e BlackBerry escreveram:

O que diferencia o Symbiote de outros malwares Linux que normalmente encontramos é que ele deve infectar outros processos em execução para prejudicar as máquinas infectadas. Em vez de ser um arquivo executável autônomo que é executado para infectar uma máquina, é uma biblioteca de objetos compartilhados (SO) que é carregada em todos os processos em execução usando LD_PRELOAD (T1574.006), e infecta parasitariamente a máquina. Depois de infectar todos os processos em execução, ele fornece ao agente da ameaça a funcionalidade de rootkit, a capacidade de coletar credenciais e a capacidade de acessá-lo remotamente.

Com LD_PRELOAD, o Symbiote será carregado antes de todos os outros objetos compartilhados. Isso permite que o malware modifique outros arquivos de biblioteca carregados para o aplicativo. A imagem abaixo mostra um resumo de todas as técnicas de prevenção de malware.

O BPF na figura refere-se a Filtro de pacote Berkeleyque permite às pessoas encobrir o tráfego de rede malicioso em um computador infectado.

“Quando um administrador executa qualquer ferramenta de captura de pacotes em uma máquina infectada, o código de bytes BPF é injetado no kernel que define quais pacotes devem ser capturados”, escreveram os pesquisadores. “Neste processo, o Symbiote primeiro adiciona seu código de byte para filtrar o tráfego de rede que não deseja ver o software de captura de pacotes”.

Uma das técnicas secretas usadas pelo Symbiote é conhecida como mesclando funções libc. Mas o malware também usa o hooking em seu papel de ferramenta de roubo de dados. “A coleta de credenciais é feita combinando a função de ler libc”, escreveram os pesquisadores. “Se o processo ssh ou scp chamar uma função, ele captura credenciais.”

Até agora, não há evidências de infecções de animais selvagens, apenas amostras de malware encontradas na Internet. É improvável que esse malware esteja amplamente ativo atualmente, mas com uma furtividade tão robusta, como podemos ter certeza?

Deixe uma resposta

O seu endereço de email não será publicado.