Finansal Sektörleri Hedeflemek için Kullanılan Linux Kötü Amaçlı Yazılımlarını Tespit Etmek Neredeyse İmkansız

BlackBerry Research & Intelligence Team ve Intezer Security Researcher arasındaki işbirliğine dayalı bir çaba sonucunda Symbiote keşfedildi. Çoğu Linux kötü amaçlı yazılım türünün aksine, Symbiote yepyeni ve algılanması zor bir Linux kötü amaçlı yazılım biçimidir.

Birkaç ay önce, Symbiote güvenlik ekibi tarafından keşfedildi. Kötü amaçlı yazılımlar genel olarak Linux süreçlerini tehlikeye atar ve çalışan tüm işlemler tarafından LD_PRELOAD yoluyla yüklenmelerini sağlayan paylaşılan bir nesne yükleyici görevi görür.

Paylaşılan nesne kitaplıkları, makinenin parazitik bir şekilde güvenliğinin aşılmasına neden olur. Bir kötü amaçlı yazılım programı bir sisteme derinlemesine yerleştirildikten sonra, saldırganların saldırı yeteneklerini daha da geliştirmek için bir rootkit işlevi yüklemelerine izin verir.

Symbiote

İlk tespit edildiği Kasım 2021'den bu yana kötü amaçlı yazılımla ilgili birkaç rapor var. Güvenlik analistleri, kötü amaçlı yazılımın Latin Amerika'daki finans sektörünü hedeflemek ve özellikle aşağıdakileri hedeflemek amacıyla tasarlandığını kabul ediyor:

• Brezilya Bankası
• Kutu

Blackberry raporunda şu ifadeler yer almaktadır:

"Kötü amaçlı yazılım bir makineye bulaştıktan sonra, kendisini ve tehdit aktörü tarafından kullanılan diğer kötü amaçlı yazılımları gizleyerek, enfeksiyonların tespit edilmesini çok zorlaştırır. Virüslü bir makinede canlı adli tıp yapmak, tüm dosyalar, işlemler ve ağ yapıları kötü amaçlı yazılım tarafından gizlendiğinden hiçbir şey ortaya çıkarmayabilir. Rootkit özelliğine ek olarak, kötü amaçlı yazılım, tehdit aktörünün makinedeki herhangi bir kullanıcı olarak kodlanmış bir parolayla oturum açması ve komutları en yüksek ayrıcalıklarla yürütmesi için bir arka kapı sağlar."

"Son derece kaçamak olduğu için, bir Simbiyot enfeksiyonunun 'radarın altında uçması' muhtemeldir. Araştırmamızda, Symbiote'un yüksek hedefli veya geniş çaplı saldırılarda kullanılıp kullanılmadığını belirlemek için yeterli kanıt bulamadık."

LD_PRELOAD yönergesi, Symbiote'u diğer paylaşılan nesnelerden önce yüklemek için kullanılabilir, böylece diğer kütüphane dosyalarından "ele geçirilmiş içe aktarmalar" Symbiote'da kullanılabilir.

Kullanılan Dosyalar

Aşağıda kullanılan dosyalardan bahsettik:

• apache2start
• apache2stop
• profiles.php
• 404erro.php
• javaserverx64
• javaclientex64
• javanodex86
• liblinux.so
• java.h
• open.h
• mpt86.h
• sqlsearch.php
• indexq.php
• mt64.so
• certbot.h
• cert.h
• certbotx64
• certbotx86
• javautils
• search.so

Linux kötü amaçlı yazılımlarının ilginç özellikleri arasında gizli olması da vardır. Kötü amaçlı yazılımın önceden yüklenmesi, gerçekte mevcut olduğu gerçeğini gizlemesine izin veren belirli işlevleri bağlamasını sağlar.

Bu dosyalara ek olarak, Symbiote'un ağ girişleri sürekli olarak temizlenir ve yapılandırma dosyaları da gizlenir.

libc'nin okuma işlevindeki bir kanca, Symbiote'un kimlik bilgilerini toplamasına izin verir ve Linux PAM işlevlerindeki bir kanca, Symbiote'un uzaktan erişimi kolaylaştırmasına izin verir.

Diğer bağlantılı sunucular Brezilya Federal Polisi olarak poz verir ve Symbiote alan adları büyük Brezilya bankalarını taklit eder.

VirusTotal, certbotx64 adı altında kötü amaçlı yazılımın bir örneğini taradı ve veritabanlarına yükledi. Veri gönderimi, kötü amaçlı yazılımın ana altyapısı yayınlanmadan önce gerçekleştiğinden ekip üyeleri durumun böyle olduğuna inanıyor.

Yazımı okuduğunuz için teşekkürler eder, Saygılar ve sevgilerle.