Expertos en seguridad de la información hablaron sobre el simbionte de malware de Linux que es casi indetectable

Linux malware Symbiote

Especialistas de BlackBerry e Intezer hablaron sobre el nuevo malware Symbiote Linux que infecta todos los procesos en ejecución en sistemas comprometidos, roba credenciales y proporciona acceso de puerta trasera a sus operadores.

Déjame recordarte que también dijimos que Google Ofertas hasta $91,000 para linux Vulnerabilidades del núcleo, y también eso Lista de expertos 15 Vulnerabilidades de Linux más atacadas.

Infiltrarse en todos los procesos en ejecución, el actos de malware como un parásito de todo el sistema, sin dejar signos perceptibles de infección, por lo que es difícil de detectar simbionte incluso con un estudio cuidadoso y profundo.

Simbionte de malware para Linux

Se cree que el desarrollo de Symbiote comenzó en noviembre. 2021, Después de lo cual los atacantes utilizaron principalmente el malware para atacar el sector financiero en América Latina., incluyendo bancos como Banco de Brasil y Caja.

El objetivo principal de Symbiote es obtener credenciales y facilitar el acceso por puerta trasera a la máquina de la víctima.. Lo que diferencia a Symbiote de otros programas maliciosos de Linux es que infecta los procesos en ejecución en lugar de utilizar un único ejecutable para causar daño..los expertos escriben.

En lugar de un archivo ejecutable normal, Symbiote es un objeto compartido. (ENTONCES) biblioteca que se carga en procesos en ejecución utilizando el LD_PRELOAD funcionar para que el enlazador dinámico cargue malware en todos los procesos en ejecución e infecte el host. Este enfoque fue utilizado anteriormente por otro malware., incluido Pro-Océano y pez cara. También, estas acciones ayudan a que el malware tenga prioridad sobre otros SO.

De este modo, con la ayuda de las funciones libc y libpcap, Symbiote puede realizar varias acciones para ocultar su presencia en el sistema.. Por ejemplo, ocultar procesos parasitarios, ocultar archivos implementados con malware, etcétera.

Además de ocultar su presencia en el sistema de archivos, Symbiote también puede ocultar su tráfico de red utilizando el filtro de paquetes Berkeley. (BPF). Esto se hace inyectando malware en el proceso y usando BPF para filtrar los resultados que revelan su actividad..

Si un administrador ejecuta una captura de paquetes en una máquina infectada para examinar el tráfico de red sospechoso, Symbiote se inyectará en el proceso del software de análisis y utilizará BPF para filtrar los resultados que podrían ayudar a identificar su actividad..los expertos dicen.

Según los investigadores, Symbiote ahora se utiliza principalmente para recopilar automáticamente credenciales de dispositivos pirateados (a través de libc leer). El hecho es que el robo de credenciales de administrador abre el camino a los atacantes para un movimiento lateral sin obstáculos y les da acceso ilimitado a todo el sistema..

Además, Symbiote proporciona a sus operadores acceso SHH remoto a la máquina infectada a través de PAM, que permite a los atacantes obtener privilegios de root.

Simbionte de malware para Linux

Porque el malware funciona como un rootkit a nivel del usuario., puede ser difícil detectar una infección. La telemetría de red se puede utilizar para detectar consultas DNS anómalas, y las herramientas de seguridad como AV y EDR deben estar vinculadas estáticamente para garantizar que no sean «infectado» con un rootkit.los investigadores concluyen.

Por Vladimir Krasnogolovy

Vladimir es un especialista técnico al que le encanta dar consejos y sugerencias cualificados sobre los productos de GridinSoft. Está disponible las 24 horas del día, los 7 días de la semana para ayudarte con cualquier pregunta relacionada con la seguridad en Internet.

Dejar un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *