رامونا پردازش نگار

Symbiote؛ پنهانی‌ترین بدافزار تحت Linux

BlackBerry و Intezer در تحقیقی مشترک به بررسی بدافزاری جدید با نام Symbiote پرداخته‌اند که سازوکارهای خاص آن شناسایی این تهدید را تقریباً غیرممکن کرده است.

این بدافزار تحت Linux با عملکرد روت‌کیت و در نقش یک درب‌پشتی دستگاه را به تسخیر مهاجمان در می‌آورد.

بدافزار Symbiote در قالب یک Shared Object خود را از طریق LD_PRELOAD به پروسه‌های در حال اجرا تزریق می‌کند.

به‌محض آلوده‌سازی تمامی پروسه‌های فعال، قابلیت روت‌کیت Symbiote مهاجمان را قادر به استخراج اطلاعات اصالت‌سنجی و اتصال از راه دور به دستگاه می‌کند.

این بدافزار، فناوری Berkeley Packet Filter – به اختصار BPF – را به‌منظور مخفی‌سازی ترافیک مخرب خود به استخدام گرفته است. برای مثال، چنانچه راهبر دستگاه آلوده اقدام به اجرای یک ابزار Packet Capture کند بایت‌کد BPF که به هسته تزریق شده ارتباطات مربوط به بدافزار را از دید ابزار مخفی نگاه خواهد داشت.

پیش‌تر، استفاده از BPF در برخی بدافزارهای Equation Group که گروهی وابسته به سازمان امنیت ملی آمریکاست گزارش شده بود. یک ماه قبل نیز جزییات بدافزاری با نام BPFDoor افشا شد که از قابلیت Packet Filtering در BPF برای پنهان کردن ارتباطات خود بهره می‌گیرد.

همچنین Symbiote پیش از سایر پروسه‌های به اصطلاح Shared Object فراخوانی شده و با در اختیار گرفتن کنترل libc و libpcap حضور خود را مخفی می‌کند. ضمن آن که در کنترل داشتن تابع read در libc بدافزار Symbiote را قادر به استخراج اطلاعات اصالت‌سنجی می‌کند.

این بدافزار از طریق سرویس Pluggable Authentication Module یا همان PAM بستر را برای برقراری ارتباط SHH مهاجمان به دستگاه آلوده فراهم می‌کند.

با توجه به این که Symbiote روت‌کیتی در سطح user-land است شناسایی آن از طریق ضدویروس نصب‌شده بر روی دستگاه می‌تواند بسیار دشوار یا حتی غیرممکن باشد.

مشروح گزارش مشترک BlackBerry و Intezer در اینجا قابل مطالعه است.

 

نشانه‌های آلودگی

هش فایل‌ها:

1c200564a0c115cdc68030dde6f2c10310f5b41a
444da2de6427e49aadedff7c9d2a7e1103a90909
68a48e9260ab6a413444f7566c4341fd6bff7cf1
aa03310efdf78e0b3c5790eab059dadee99f1bc4
3af6ece8ce067986173c48ca3164982acde284a7

دامنه‌های مخفی:

assets[.]fans
caixa[.]cx
dpf[.]fm
bancodobrasil[.]dev
cctdcapllx0520
cctdcapllx0520[.]df[.]caixa
webfirewall[.]caixa[.]wf
caixa[.]wf

 

مطالب مرتبط

اشتراک در
اطلاع از
0 نظرات
بازخورد (Feedback) های اینلاین
مشاهده همه دیدگاه ها
مطالب اخیر
LockBit؛ فعال‌ترین باج‌افزار جهان از نگاهی نزدیک
فایل‌های فارسی ناقل اکسپلویت Follina
BlackCat؛ نمونه‌ای از خلاقیت بی‌پایان گردانندگان باج‌افزار
ترمیم بیش از ۶۰ آسیب‌پذیری در محصولات مایکروسافت
ESXi؛ این بار هدف باج‌افزار Black Basta
Symbiote؛ پنهانی‌ترین بدافزار تحت Linux
تکنیکی جدید برای انتشار بدافزار
بهره‌جویی گسترده از آسیب‌پذیری Follina
چالش‌های نیروی انسانی متخصص در حوزه امنیت سایبری
راهکاری موقت برای آسیب‌پذیری روز-صفر CVE-2022-30190
ایران؛ اولین کشور از لحاظ کثرت بدافزارهای موبایلی
خرید VMware توسط Broadcom با قیمت ۶۱ میلیارد دلار
آسیب‌پذیری ضدویروس‌ها؛ نگاهی به واکنش‌ها
41 ضعف امنیتی دیگر در فهرست آسیب‌پذیری‌های در حال بهره‌جویی
آلوده‌سازی به کی‌لاگر از طریق فایل PDF
Eternity؛ مجموعه‌ای از بدافزارهای مخرب
هشدار اضطراری در خصوص آسیب‌پذیری‌های اخیر VMware
SQLPS؛ پروسه‌ای معتبر در تسخیر استخراج‌کنندگان رمزارز
رایج‌ترین خطاها از نگاه 8 آژانس امنیتی
HTML؛ در نقش پیوست ایمیل فیشینگ

دانلود

لطفا برای دریافت لینک دانلود اطلاعات خواسته شده را وارد نمایید
0
علاقمندیم که دیدگاه‌های شما را بدانیم! لطفا نظر دهید.x
()
x
اسکرول به بالا