Cảnh báo mã độc Linux mới: Symbiote đang đe dọa cộng đồng

Một mã độc mới được phát hiện có tên là Symbiote đang gây ra mối đe dọa lớn cho người dùng Linux vì nó có khả năng lây nhiễm vào tất cả các tiến trình đang chạy trên máy tính Linux.

Sau khi lây nhiễm vào các quy trình đang chạy, Symbiote hoạt động như một ký sinh trùng trên toàn hệ thống, không để lại bất kỳ dấu hiệu nào cho thấy máy tính bị lây nhiễm. Ngay cả những kiểm tra chuyên sâu, tỉ mỉ nhất cũng không thể phát hiện ra.

Symbiote sử dụng chức năng kết nối BPF (Berkeley Packet Filter) để theo dõi các gói dữ liệu mạng và ẩn các kênh liên lạc của chính nó khỏi các công cụ bảo mật.

Các nhà nghiên cứu bảo mật của BlackBerry và Intezer Labs đã phát hiện ra sự tồn tại của Symbiote. Họ đã hợp tác chặt chẽ cùng nhau để khám phá tất cả các khía cạnh của mã độc này sau đó công bố trong một bản báo cáo kỹ thuật chi tiết. Theo họ, Symbiote tích cực phát triển kể từ năm ngoái.

Lây nhiễm toàn hệ thống thông qua các đối tượng được chia sẻ

Thường thì mã độc được lây lan qua các tệp thực thi. Tuy nhiên, Symbiote lại là một thư viện đối tượng được chia sẻ (SO) được tải vào các quy trình đang chạy bằng cách dùng chỉ thị LD_PRELOAD để giành quyền ưu tiên so với các SO khác.

Do được tải đầu tiên, Symbiote có thể kết nối với các chức năng "libc" và "libpcap" và thực hiện các hành động khác nhau để che giấu sự hiện diện của nó như ẩn các quy trình ký sinh, ẩn các tệp được triển khai với phần mềm độc hại...

"Khi nó tự lây nhiễm chính nó vào các quy trình, mã độc có thể chọn kết quả mà nó hiển thị", các nhà nghiên cứu cho biết. "Nếu quản trị viên bắt đầu thu thập các gói trên máy bị nhiễm để điều tra lưu lượng truy cập mạng bất thường, Symbiote sẽ tự đưa nó vào quy trình của phần mềm kiểm tra và sử dụng BPF hooking để lọc ra các kết quả có thể tiết lộ hoạt động của nó".

Để ẩn các hoạt động mạng độc hại của mình, Symbiote sẽ xóa các mục kết nối mà nó muốn ẩn, thực hiện lọc gói qua BPF và loại bỏ lưu lượng UDP đến các tên miền trong danh sách của nó.

Backdoor và đánh cắp dữ liệu

Symbiote chủ yếu được dùng để đánh cắp thông tin xác thực từ các máy Linux bị tấn công một cách lén lút. Khi nhắm vào đúng các máy chủ Linux trong các tổ chức, cơ quan lớn, Symbiote sẽ gây ra vấn đề nghiêm trọng. Nếu đánh cắp được mật khẩu của quản trị viên, con đường lây nhiễm ngang hàng sẽ không bị cản trở và hacker cũng nắm trong tay quyền truy cập không giới hạn vào toàn bộ hệ thống.

Ngoài ra, Symbiote còn cung cấp cho kẻ tấn công quyền truy cập SHH từ xa vào máy thông qua dịch vụ PAM đồng thời cung cấp một phương thức để kẻ tấn công có được đặc quyền root trên hệ thống.

Mục tiêu của Symbiote là các thực thể trong lĩnh vực tài chính ở khu vực Mỹ Latinh, mạo danh các ngân hàng và cảnh sát liên bang Brazil...

Mã độc Symbiote nguy hiểm. rất khó bị phát hiện nên không thể không đề phòng. Vì vậy các quản trị viên cần quan tâm nhiều hơn tới lưu lượng truy cập mạng. Network telemetry có thể được dùng để phát hiện các yêu cầu DNS bất thường và các công cụ bảo mật như phần mềm diệt virus và Endpoint Detection and Response (EDR) cần được liên kết tĩnh để đảm bảo chúng không bị nhiễm mã độc.

Nguồn bài tham khảo: Quantrimang