(https://i.postimg.cc/9M28ZGWd/symbiote-875x530-header.png) (https://postimages.org/)
Los investigadores descubrieron un malware de Linux de alto sigilo, denominado Symbiote, que podría usarse como backdoors (puerta trasera) para sistemas infectados.
La investigación conjunta realizada por las empresas de seguridad Intezer y BlackBerry descubrió una nueva amenaza para Linux denominada Symbiote.
El nombre proviene del concepto de simbionte, que es un organismo que vive en simbiosis con otro organismo, exactamente como lo hace este implante con los sistemas infectados. Por esta razón, los investigadores de seguridad definieron esta amenaza como casi imposible de detectar.
A diferencia de otras amenazas de Linux, Symbiote necesita infectar otros procesos en ejecución para causar daños en las máquinas comprometidas. Es una biblioteca de objetos compartidos (SO) que se carga en todos los procesos en ejecución mediante LD_PRELOAD y, como un parásito, infecta la máquina.
Una vez que el malware ha infectado todos los procesos en ejecución, proporciona al actor de amenazas la capacidad de rootkit y admite capacidades de robo de datos
El malware se detectó por primera vez en noviembre de 2021, los expertos creen que fue diseñado para apuntar al sector financiero en América Latina, como Banco do Brasil y Caixa.
"Una vez que el malware ha infectado una máquina, se oculta a sí mismo y a cualquier otro malware utilizado por el actor de amenazas, lo que hace que las infecciones sean muy difíciles de detectar. Es posible que la realización de análisis forenses en vivo en una máquina infectada no revele nada, ya que el malware oculta todos los archivos, procesos y artefactos de la red. Además de la capacidad de rootkit, el malware proporciona una puerta trasera para que el actor de amenazas inicie sesión como cualquier usuario en la máquina con una contraseña codificada y ejecute comandos con los privilegios más altos".
"Dado que es extremadamente evasivo, es probable que una infección de Symbiote "vuele por debajo del radar". "En nuestra investigación, no hemos encontrado suficiente evidencia para determinar si Symbiote se está utilizando en ataques muy específicos o amplios".
Los expertos informaron que una característica técnica interesante implementada por Symbiote es la funcionalidad de enganche del filtro de paquetes de Berkeley (BPF), es el primer malware de Linux que utiliza esta característica para ocultar el tráfico de red malicioso.
"Cuando un administrador inicia cualquier herramienta de captura de paquetes en la máquina infectada, el código de bytes BPF se inyecta en el kernel que define qué paquetes deben capturarse. En este proceso, Symbiote agrega primero su código de bytes para que pueda filtrar el tráfico de red que no quiere que vea el software de captura de paquetes".
El enlazador puede cargar Symbiote a través de la directiva LD_PRELOAD antes que cualquier otro objeto compartido, lo que permite "secuestrar las importaciones" de los otros archivos de la biblioteca cargados para la aplicación.
Symbiote oculta su presencia conectando las funciones libc y libpcap.
(https://i.postimg.cc/htH34k63/Symbiote.png) (https://postimages.org/)
"Symbiote es un malware que es altamente evasivo. Su objetivo principal es capturar credenciales y facilitar el acceso por la puerta trasera a las máquinas infectadas. Dado que el malware funciona como un rootkit a nivel de usuario, detectar una infección puede ser difícil". concluye el informe.
"La telemetría de la red se puede usar para detectar solicitudes de DNS anómalas, y las herramientas de seguridad como el antivirus y la detección y respuesta de puntos finales (EDR) deben vincularse estáticamente para garantizar que no estén "infectados" por rootkits de usuario".
Fuente:
Intezer
https://www.intezer.com/blog/research/new-linux-threat-symbiote/
BlackBerry
https://blogs.blackberry.com/en/2022/06/symbiote-a-new-nearly-impossible-to-detect-linux-threat
Vía:
SecurityAffairs
https://securityaffairs.co/wordpress/132113/malware/symbiote-linux-malware.html