SKADEVARE

Ny Linux-skadevare infiserer alle prosessene som kjøres

Skal være bortimot umulig å oppdage.

Linux-skadevaren Symbiote har flere uvanlige særtrekk.
Linux-skadevaren Symbiote har flere uvanlige særtrekk. Illustrasjon: Blackberry, montasje: Digi.no
Harald BrombachHarald BrombachNyhetsleder
13. juni 2022 - 08:00

Sikkerhetsforskere i Intezer og BlackBerry Threat Research & Intelligence Team har oppdaget en skadevare med det som omtales som temmelig uvanlige egenskaper. Skadevaren, som de kaller for Symbiote, opptrer i en slags symbiose med Linux-baserte operativsystemer og er i stand til å skjule seg svært godt, blant annet med rootkit-funksjonalitet. 

Infiserer alle prosesser

Det er spesielt to egenskaper som gjør Symbiote uvanlig. Den ene er at den ikke opptrer som en separat prosess eller kjørbar fil. I stedet opptrer skadevaren i et SO-bibliotek (Shared Object) som dynamisk lastes inn av prosessene via LD_PRELOAD-direktivet. Dette gjør at skadevaren lastes inn før alle andre delte objekter og kan dermed kontrollere hva annet som skal importeres. 

På denne måten får skadevaren også tilgang til de samme ressursene i systemet som de infiserte prosessene også ellers ville ha hatt, inkludert minneområder og nettverkstilgang. 

Linux-skadevare stiger kraftig, mens alle de andre operativsystemene opplever en markant nedgang, sier Atlas VPN.
Les også

Dramatisk økning: Femdobling i Linux-skadevare

Gjør seg usynlig

Den andre spesielle – men ikke helt unike – egenskapen er at Symbiote skjuler seg ved hjelp av «hooking» av funksjoner i bibliotekene libc og libpcap, noe den kan bruke til å sørge for at spor etter skadevaren utelates fra lister over blant annet filnavn, nettverksporter, domenenavn og prosesser.

Oversikt over unnvikelsesteknikkene som Symbiote benytter. <i>Illustrasjon: Blackberry, Intexer</i>
Oversikt over unnvikelsesteknikkene som Symbiote benytter. Illustrasjon: Blackberry, Intexer

Blant annet benyttes injisering av bytekode i Linux-kjernen for å bruke Berkeley Packet Filter-grensesnittet til å sørge for at nettverkstrafikk som ikke er ønskelig at skal blitt fanget opp av pakkeinspeksjonsverktøy, blir filtrert ut. Dette er funksjonalitet som tidligere har blitt kreditert NSA-tilknyttede Equation Group. 

De første deteksjonene av Symbiote ble gjort i november 2021 og var rettet mot finanssektoren i Latin-Amerika. Skadevaren opprettet en bakdør som gjorde det mulig for angriperne å logge seg inn som enhver bruker med et hardkodet passord. Der kunne de utføre kommandoer med alle privilegier. 

Sikkerhetsforskerne har så langt ikke sett tilstrekkelig bevis til å avgjøre om skadevaren benyttes i brede angrep eller i spesielt rettede angrep. Sikkerhetsforskerne har ikke oppgitt hvordan angriperne har greid å infisere de angrepne systemene.

Det er urovekkende hva et bilde kan avsløre, ifølge Svein Bekkevold, administrerende direktør i Gritera Security.
Les også

IT-ekspert: Skremmende hva et teknisk bilde kan røpe av sårbarheter

Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.