НОВЫЙ ПАРАЗИТ SYMBIOTE, КОТОРЫЙ НЕВОЗМОЖНО НАЙТИ
Исследователи из команды BlackBerry Threat Research & Intelligence совместно с исследователем безопасности компании Intezer Йоакимом Кеннеди опубликовали сообщение о новом вредоносном программном обеспечении, названном Symbiote.
Symbiote был обнаружен несколько месяцев назад. Действует вредонос-паразит как библиотека разделяемых объектов (SO), которая загружается во все запущенные процессы через LD_PRELOAD. Вредоносная библиотека разделяемых объектов паразитически компрометирует машину жертвы. Далее Symbiote начинает работать как руткит.
Вышеупомянутое вредоносное ПО имеет ряд интересных особенностей. Одна из них — это использование Berkeley Packet Filter (BPF) – метода отбора пакетов, позволяющего захватить необходимые сетевые пакеты, проходящие через любой интерфейс системы, и направить их на удаленную рабочую станцию.
Другой интересной особенностью вредоноса стала его потрясающая скрытность, его практически невозможно обнаружить. Symbiote загружается перед другими динамическими объектами, что позволяет подключать определенные функции (включая libc и libpcap) и скрывать свое присутствие.
“Когда администратор запускает любой инструмент для захвата пакетов на зараженном устройстве, в ядро внедряется байткод BPF, который определяет, какие пакеты должны быть захвачены. В этом процессе Symbiote добавляет свой байткод первым, чтобы отфильтровать сетевой трафик, который не должны видеть программы для захвата пакетов”, – BlackBerry.
Проанализировав код, исследователи назвали Symbiote совершенно новым, прежде не использовавшимся вредоносным ПО для Linux. Мы всегда следим за появлением новых технологий кибертеррористов. Благодаря данному подходу мы подбираем для Наших Клиентов только самые эффективные решения от Наших Партнеров.