75 подписчиков
Новый вирус Symbiote, который почти невозможно обнаружить
Вирус работает как библиотека разделяемых объектов (SO), которая загружается во все запущенные процессы через LDPRELOAD.
Вредоносная ПО загружается перед другими динамическими объектами, что позволяет ей подключать определенные функции (включая libc и libpcap) и скрывать свое присутствие. Другие файлы, связанные с Symbiote, также скрыты, а его сетевые записи постоянно очищаются.
Вирус использует Berkeley Packet Filter (BPF) – метод отбора пакетов, позволяющий захватить необходимые сетевые пакеты, проходящие через любой интерфейс системы, и направить их на удаленную рабочую станцию для дальнейшего анализа.
Также Symbiote может собирать учетные данные, подключая функцию чтения libc, а также облегчать удаленный доступ, используя функции подключаемого модуля аутентификации Linux (PAM). Доменные имена, связанные с Symbiote, выдают себя за крупные бразильские банки, а сервер маскируется под Федеральную полицию Бразилии.
Исследователи назвали Symbiote совершенно новым, прежде не использовавшимся вредоносным ПО для Linux, поскольку его код был уникален.
Но тем не менее исследователи не уверены, используется ли Symbiote в каких-либо атаках. Время покажет, что за вирус такой. #безопасность
1 минута
14 июня 2022