Il malware Linux Symbiote infetta tutti i processi in esecuzione sui sistemi compromessi, ruba le credenziali degli account e fornisce ai suoi operatori un accesso backdoor.
Dopo essersi iniettato in tutti i processi in esecuzione, il malware agisce come un parassita a livello di sistema, senza lasciare alcun segno identificabile dell’infezione nemmeno durante le ispezioni approfondite.
Symbiote utilizza la funzionalità di aggancio BPF (Berkeley Packet Filter) per sniffare i pacchetti di dati di rete e nascondere i propri canali di comunicazione agli strumenti di sicurezza.
Questa nuova minaccia è stata scoperta e analizzata dai ricercatori di BlackBerry e Intezer Labs, che hanno lavorato insieme per scoprire tutti gli aspetti del nuovo malware in un rapporto tecnico dettagliato. Secondo loro, Symbiote è in fase di sviluppo attivo dallo scorso anno.
Invece di avere la tipica forma di un eseguibile, Symbiote è una libreria di oggetti condivisi (SO) che viene caricata nei processi in esecuzione utilizzando la direttiva LD_PRELOAD per ottenere la priorità rispetto ad altri SO.
Essendo il primo a essere caricato, Symbiote può agganciare le funzioni “libc” e “libpcap” ed eseguire varie azioni per nascondere la sua presenza, come nascondere i processi parassiti, nascondere i file distribuiti con il malware e altro ancora.
“Quando si inietta nei processi, il malware può scegliere quali risultati visualizzare“, hanno rivelato i ricercatori di sicurezza in un rapporto pubblicato oggi.
“Se un amministratore avvia un’acquisizione di pacchetti sulla macchina infetta per indagare sul traffico di rete sospetto, Symbiote si inietta nel processo del software di ispezione e utilizza l’aggancio BPF per filtrare i risultati che rivelerebbero la sua attività“.
Per nascondere l’attività di rete dannosa sul computer compromesso, Symbiote esegue lo scrub delle voci di connessione che vuole nascondere, esegue il filtraggio dei pacchetti tramite BPF e rimuove il traffico UDP verso i nomi di dominio nel suo elenco.
Backdoor e furto di dati
Questo nuovo malware furtivo viene utilizzato principalmente per la raccolta automatica di credenziali dai dispositivi Linux violati, agganciando la funzione “libc read“.
Si tratta di una missione cruciale quando si prendono di mira server Linux in reti di alto valore, poiché il furto delle credenziali dell’account di amministrazione apre la strada a movimenti laterali senza ostacoli e all’accesso illimitato all’intero sistema.
Symbiote offre inoltre ai suoi operatori l’accesso SHH remoto alla macchina tramite il servizio PAM e fornisce all’attore della minaccia un modo per ottenere i privilegi di root sul sistema.
Gli obiettivi del malware sono per lo più entità impegnate nel settore finanziario in America Latina, che si spacciano per banche brasiliane, polizia federale del Paese, ecc.
“Poiché il malware opera come rootkit a livello di utente, il rilevamento di un’infezione può essere difficile“, concludono i ricercatori.
“La telemetria di rete può essere utilizzata per rilevare richieste DNS anomale e gli strumenti di sicurezza come AV e EDR dovrebbero essere collegati staticamente per garantire che non siano ‘infettati’ da rootkit userland“.
Si prevede che tali minacce avanzate e altamente invasive utilizzate negli attacchi contro i sistemi Linux aumenteranno in modo significativo nel prossimo periodo, poiché le reti aziendali di grandi dimensioni e di valore utilizzano ampiamente questa architettura.
Solo il mese scorso è stata individuata un’altra backdoor simile, chiamata BPFDoor, che utilizza il BPF (Berkeley Packet Filter) per ascoltare passivamente il traffico di rete in entrata e in uscita sugli host infetti.
Linux è sotto assedio: ecco sei tipi di attacchi da monitorare
