Start Empfohlen Symbiote ist eine äußerst gefährliche, „fast unmöglich zu erkennende“ Linux-Malware

Symbiote ist eine äußerst gefährliche, „fast unmöglich zu erkennende“ Linux-Malware

4
0


Symbiote-Linux-Malware

Fans von Linux-basierten Betriebssystemen nennen oft mehr Sicherheit als Grundlage für die Liebe zu ihrer gewählten Distribution. Ob Linux-Distributionen eine bessere Sicherheitsbilanz als Windows 11 und macOS haben, weil sie von Natur aus sicherer sind oder weil sie einfach nicht so sehr zielgerichtet sind, wie sehr offen für Diskussionen, aber Linux bleibt dennoch fehlbar.

Dies wird in gewisser Weise durch die Symbiote-Malware bewiesen, die von Sicherheitsforschern von BlackBerry und Intezer Labs entdeckt wurde. Symbiote ist aus einer Reihe von Gründen besorgniserregend, einschließlich der Tatsache, dass es als „fast unmöglich zu erkennen“ beschrieben wird. Es ist auch eine extrem gefährliche Malware, die Systeme „parasitär infiziert“, alle laufenden Prozesse infiziert und Bedrohungsakteuren Rootkit-Funktionalität, Fernzugriff und mehr bietet.

Siehe auch:

Symbiote wird aufgrund der Art der Angriffe so genannt, wobei „Symbiote“ ein biologischer Begriff für einen Organismus ist, der in Symbiose mit einem anderen Organismus lebt, manchmal parasitär. Die Sicherheitsforscher sagen, dass Symbiote seit mindestens November 2021 existiert und anscheinend existiert wurden speziell für den Finanzsektor entwickelt.

Die Forscher schreiben ihre Ergebnisse zusammen und sagen über die Malware:

Was Symbiote von anderer Linux-Malware unterscheidet, auf die wir normalerweise stoßen, ist, dass sie andere laufende Prozesse infizieren muss, um infizierten Computern Schaden zuzufügen. Anstatt eine eigenständige ausführbare Datei zu sein, die ausgeführt wird, um einen Computer zu infizieren, handelt es sich um eine Shared Object (SO)-Bibliothek, die mithilfe von LD_PRELOAD (T1574.006) in alle laufenden Prozesse geladen wird und den Computer parasitär infiziert. Sobald es alle laufenden Prozesse infiziert hat, bietet es dem Angreifer Rootkit-Funktionalität, die Möglichkeit, Anmeldeinformationen zu sammeln, und Fernzugriffsfunktionen.

Sie erklären weiter, warum Symbiote so schwer zu erkennen ist:

Sobald die Malware einen Computer infiziert hat, verbirgt sie sich selbst und jede andere Malware, die vom Angreifer verwendet wird, wodurch Infektionen sehr schwer zu erkennen sind. Die Durchführung von Live-Forensik auf einem infizierten Computer ergibt möglicherweise nichts, da alle Dateien, Prozesse und Netzwerkartefakte von der Malware verborgen werden. Zusätzlich zur Rootkit-Fähigkeit bietet die Malware dem Angreifer eine Hintertür, um sich als beliebiger Benutzer auf dem Computer mit einem fest codierten Passwort anzumelden und Befehle mit den höchsten Privilegien auszuführen.

Da es extrem ausweichend ist, wird eine Symbiote-Infektion wahrscheinlich „unter dem Radar fliegen“. Bei unserer Recherche haben wir nicht genügend Beweise gefunden, um festzustellen, ob Symbiote bei sehr gezielten oder breit angelegten Angriffen verwendet wird.

Ein interessanter technischer Aspekt von Symbiote ist die Hooking-Funktionalität des Berkeley Packet Filter (BPF). Symbiote ist nicht die erste Linux-Malware, die BPF verwendet. Beispielsweise hat eine fortschrittliche Hintertür, die der Equation Group zugeschrieben wird, BPF für verdeckte Kommunikation verwendet. Symbiote verwendet jedoch BPF, um schädlichen Netzwerkverkehr auf einem infizierten Computer zu verbergen.

Wenn ein Administrator ein Paketerfassungstool auf dem infizierten Computer startet, wird BPF-Bytecode in den Kernel eingefügt, der definiert, welche Pakete erfasst werden sollen. Bei diesem Vorgang fügt Symbiote zuerst seinen Bytecode hinzu, damit es den Netzwerkverkehr herausfiltern kann, den die Paketerfassungssoftware nicht sehen soll.

Symbiote ist auch in der Lage, seine Netzwerkaktivität mit einer Vielzahl von Techniken zu verbergen. Dies ist die perfekte Tarnung, damit die Malware Anmeldeinformationen sammeln und dem Angreifer Fernzugriff gewähren kann.

Eine vollständige, detaillierte Beschreibung finden Sie unter BlackBerry-Blogsowie in einem Beitrag auf der Intezer-Website.



Vorheriger ArtikelKinder und Jugendliche im Netz: steigende Nutzungszeit, gemischte Erfahrungen
Nächster ArtikelSteam-Bestseller: Neuer Horrorschocker schlägt die Konkurrenz in die Flucht

Kommentieren Sie den Artikel

Bitte geben Sie Ihren Kommentar ein!
Bitte geben Sie hier Ihren Namen ein