Quelle: bleepingcomputer.com (Englisch)
Eine neu entdeckte Linux-Malware mit dem Namen Symbiote infiziert alle laufenden Prozesse auf kompromittierten Systemen, stiehlt Zugangsdaten und verschafft ihren Betreibern Backdoor-Zugang.
Nachdem sich die Malware in alle laufenden Prozesse eingeschleust hat, agiert sie als systemweiter Parasit und hinterlässt selbst bei gründlichen Untersuchungen keine erkennbaren Anzeichen einer Infektion.
Symbiote nutzt die BPF (Berkeley Packet Filter) Hooking-Funktionalität, um Datenpakete im Netzwerk auszuspähen und seine eigenen Kommunikationskanäle vor Sicherheitstools zu verbergen.
Diese neuartige Bedrohung wurde von BlackBerry- und Intezer Labs-Forschern entdeckt und analysiert, die gemeinsam alle Aspekte der neuen Malware in einem detaillierten technischen Bericht aufdeckten. Demnach befindet sich Symbiote seit dem vergangenen Jahr in aktiver Entwicklung.
Systemweite Infektion über freigegebene Objekte Symbiote hat nicht die typische Form einer ausführbaren Datei, sondern ist eine gemeinsam genutzte Objektbibliothek (SO), die mit Hilfe der LD_PRELOAD-Direktive in laufende Prozesse geladen wird, um Vorrang vor anderen SOs zu erhalten.
Da Symbiote als erstes geladen wird, kann er die Funktionen "libc" und "libpcap" nutzen und verschiedene Aktionen durchführen, um seine Anwesenheit zu verbergen, wie z. B. das Verstecken von parasitären Prozessen, das Verstecken von Dateien, die mit der Malware installiert werden, und vieles mehr.
"Wenn sie sich in Prozesse einschleust, kann die Malware wählen, welche Ergebnisse sie anzeigt", so die Sicherheitsforscher in einem heute veröffentlichten Bericht.
"Wenn ein Administrator auf dem infizierten Rechner eine Paketaufzeichnung startet, um verdächtigen Netzwerkverkehr zu untersuchen, klinkt sich Symbiote in den Prozess der Inspektionssoftware ein und filtert mithilfe von BPF-Hooking die Ergebnisse heraus, die seine Aktivitäten offenbaren würden."
Um seine bösartigen Netzwerkaktivitäten auf dem kompromittierten Rechner zu verbergen, säubert Symbiote die Verbindungseinträge, die er verbergen möchte, führt eine Paketfilterung über BPF durch und entfernt den UDP-Verkehr zu den Domänennamen in seiner Liste.
Backdoors und Datendiebstahl Diese unauffällige neue Malware wird in erster Linie zum automatischen Abgreifen von Anmeldeinformationen von gehackten Linux-Geräten verwendet, indem sie die Funktion "libc read" einhakt.
Dies ist eine wichtige Aufgabe, wenn Linux-Server in hochrangigen Netzwerken angegriffen werden, da der Diebstahl von Anmeldedaten für Administratorkonten den Weg für ungehinderte seitliche Bewegungen und unbegrenzten Zugriff auf das gesamte System ebnet.
Symbiote verschafft seinen Betreibern über den PAM-Dienst auch SHH-Fernzugriff auf den Rechner und bietet dem Bedrohungsakteur eine Möglichkeit, Root-Rechte auf dem System zu erlangen.
Die Malware zielt vor allem auf Unternehmen des Finanzsektors in Lateinamerika ab, die sich als brasilianische Banken, die Bundespolizei des Landes usw. ausgeben.
"Da die Malware als Rootkit auf Benutzerebene arbeitet, kann es schwierig sein, eine Infektion zu erkennen", so die Forscher.
"Netzwerk-Telemetrie kann verwendet werden, um anomale DNS-Anfragen zu erkennen, und Sicherheitstools wie AVs und EDRs sollten statisch verknüpft werden, um sicherzustellen, dass sie nicht von Userland-Rootkits 'infiziert' sind."
Es wird erwartet, dass solche fortschrittlichen und hochgradig invasiven Bedrohungen, die bei Angriffen auf Linux-Systeme eingesetzt werden, in nächster Zeit erheblich zunehmen werden, da große und wertvolle Unternehmensnetzwerke diese Architektur in großem Umfang nutzen.
Erst letzten Monat wurde eine ähnliche Hintertür namens BPFDoor entdeckt, die BPF (Berkeley Packet Filter) verwendet, um passiv den ein- und ausgehenden Netzwerkverkehr auf infizierten Hosts abzuhören.