viruslinux

Un malware de Linux recientemente descubierto conocido como Symbiote infecta todos los procesos en ejecución en los sistemas comprometidos, roba las credenciales de la cuenta y brinda a sus operadores acceso de puerta trasera.

Después de inyectarse en todos los procesos en ejecución, el malware actúa como un parásito en todo el sistema, sin dejar signos identificables de infección, incluso durante inspecciones minuciosas y minuciosas.

Symbiote utiliza la funcionalidad de enlace BPF (Berkeley Packet Filter) para detectar paquetes de datos de red y ocultar sus propios canales de comunicación de las herramientas de seguridad.

Esta nueva amenaza fue descubierta y analizada por investigadores de BlackBerry e Intezer Labs, quienes trabajaron juntos para descubrir todos los aspectos del nuevo malware en un informe técnico detallado. Según ellos, Symbiote ha estado en desarrollo activo desde el año pasado.

Infección en todo el sistema a través de objetos compartidos

En lugar de tener la forma típica de un ejecutable, Symbiote es una biblioteca de objetos compartidos (SO) que se carga en procesos en ejecución mediante la directiva LD_PRELOAD para obtener prioridad frente a otros SO.

Al ser el primero en cargarse, Symbiote puede conectar las funciones "libc" y "libpcap" y realizar varias acciones para ocultar su presencia, como ocultar procesos parásitos, ocultar archivos implementados con el malware y más.

imagenfinallinux

“Cuando se inyecta en los procesos, el malware puede elegir qué resultados muestra”, revelaron los investigadores de seguridad en un informe publicado hoy .

"Si un administrador inicia una captura de paquetes en la máquina infectada para investigar algún tráfico de red sospechoso, Symbiote se inyectará en el proceso del software de inspección y usará el enlace BPF para filtrar los resultados que revelarían su actividad".

Para ocultar su actividad de red maliciosa en la máquina comprometida, Symbiote borra las entradas de conexión que quiere ocultar, realiza el filtrado de paquetes a través de BPF y elimina el tráfico UDP a los nombres de dominio en su lista.

Puertas traseras y robo de datos

Este nuevo y sigiloso malware se utiliza principalmente para la recolección automatizada de credenciales de dispositivos Linux pirateados mediante el enlace de la función "lectura de libc".

Esta es una misión crucial cuando se trata de servidores Linux en redes de alto valor, ya que el robo de credenciales de cuentas de administrador abre el camino a un movimiento lateral sin obstrucciones y acceso ilimitado a todo el sistema.

Symbiote también brinda a sus operadores acceso SHH remoto a la máquina a través del servicio PAM, mientras que también proporciona una forma para que el actor de amenazas obtenga privilegios de root en el sistema.

Los objetivos del malware son en su mayoría entidades involucradas en el sector financiero en América Latina, haciéndose pasar por bancos brasileños, la policía federal del país, etc.

"Dado que el malware funciona como un rootkit a nivel de usuario, detectar una infección puede ser difícil", concluyeron los investigadores.

"La telemetría de red se puede utilizar para detectar solicitudes de DNS anómalas y las herramientas de seguridad, como AV y EDR, deben vincularse estáticamente para garantizar que no estén 'infectadas' por rootkits de usuario".

Se espera que estas amenazas avanzadas y altamente evasivas utilizadas en los ataques contra los sistemas Linux aumenten significativamente en el próximo período, ya que las redes corporativas grandes y valiosas utilizan esta arquitectura de manera generalizada.

Solo el mes pasado, se detectó otra puerta trasera similar llamada BPFDoor usando BPF (Berkeley Packet Filter) para escuchar pasivamente el tráfico de red entrante y saliente en los hosts infectados.

Más información 1: https://www.intezer.com/.....threat-symbiote/ 
Más información 2: https://blackberry.com/en/2022/06/symbiote......detect-linux 

 

Fuente: intezer | somoslibres

¿Quién está en línea?

Hay 4733 invitados y ningún miembro en línea