Специалисты BlackBerry и Intezer обнаружили новый опасный вредонос для операционных систем Linux под названием Symbiote. В отличие от традиционных вирусов и троянов, Symbiote ведет себя как настоящий паразит, внедряясь в работающие процессы и скрывая свою активность от системных администраторов и средств защиты.
Описание
Как работает Symbiote?
Symbiote - это не отдельный исполняемый файл, а динамическая библиотека (SO), которая заражает процессы через LD_PRELOAD - механизм, позволяющий загружать пользовательские библиотеки перед системными. Это позволяет вредоносу внедряться во все запущенные программы, перехватывать вызовы функций и маскировать свое присутствие.
После заражения Symbiote предоставляет злоумышленнику широкий набор возможностей:
- Руткит-функционал - скрывает процессы, файлы и сетевую активность, связанную с вредоносной деятельностью.
- Кражу учетных данных - перехватывает логины и пароли, вводимые через SSH и SCP.
- Удаленный доступ - позволяет атаковающему входить в систему под любым пользователем с использованием жестко заданного пароля.
- Фильтрацию сетевого трафика - маскирует вредоносные соединения, чтобы их не обнаружили инструменты мониторинга.
Методы скрытности
Одна из главных особенностей Symbiote - его способность оставаться незаметным даже при ручном анализе системы. Он использует несколько техник:
- Перехват функций libc и libpcap - модифицирует результаты системных вызовов, чтобы скрыть файлы, процессы и сетевые соединения.
- Фильтрация через Berkeley Packet Filter (BPF) - внедряет собственный байткод в ядро Linux, чтобы отбрасывать пакеты, связанные с вредоносной активностью.
- Маскировка в DNS-запросах - передает украденные данные через DNS-трафик, что затрудняет обнаружение эксфильтрации.
Кто стал жертвой?
Первые образцы Symbiote были замечены в ноябре 2021 года. Анализ доменов, используемых для C2-серверов, указывает на то, что основной целью атак стали финансовые организации в Латинской Америке, в частности банки Бразилии.
Как защититься?
Поскольку Symbiote не оставляет следов на диске и работает исключительно в памяти, традиционные антивирусные решения могут его не обнаружить. Для защиты эксперты рекомендуют:
- Контролировать переменные окружения (LD_PRELOAD, LD_TRACE_LOADED_OBJECTS).
- Использовать инструменты анализа памяти (Volatility, Rekall).
- Мониторить необычные DNS-запросы и сетевую активность.
- Обновлять системы и применять строгие политики доступа.
Symbiote демонстрирует, насколько изощренными становятся атаки на Linux-системы, которые долгое время считались более защищенными, чем Windows. Его паразитическая природа делает его особенно опасным, поскольку он может долгое время оставаться незамеченным, собирая конфиденциальные данные и предоставляя злоумышленникам полный контроль над зараженными серверами.
Индикаторы компрометации
Domains
- assets.fans
- bancodobrasil.dev
- caixa.cx
- caixa.wf
- dpf.fm
- webfirewall.caixa.wf
- git.bancodobrasil.dev
SHA256
- 121157e0fcb728eb8a23b55457e89d45d76aa3b7d01d3d49105890a00662c924
- 45eacba032367db7f3b031e5d9df10b30d01664f24da6847322f6af1fd8e7f01
- a0cd554c35dee3fed3d1607dc18debd1296faaee29b5bd77ff83ab6956a6f9d6
- ec67bbdf55d3679fca72d3c814186ff4646dd779a862999c82c6faa8e6615180
- f55af21f69a183fb8550ac60f392b05df14aa01d7ffe9f28bc48a118dc110b4c
