Ny, svær at opdage malware-angreb opdaget på Linux-baserede systemer

0
Ny, svær at opdage malware-angreb opdaget på Linux-baserede systemer

Hvorfor det er vigtigt: Tidligere på ugen udgav forskere fra Blackberry og Intezer information om en svær at opdage Linux-malware rettet mod latinamerikanske finansielle institutioner. Kendt som Symbiote giver truslen uautoriserede brugere mulighed for at høste legitimationsoplysninger eller påtage sig fjernadgang til målmaskinen. Når først den er inficeret, er al malware skjult og gjort uopdagelig.

Intezers Joakim Kennedy og Blackberry Research and Intelligence Team opdaget at truslen præsenteres som et delt objektbibliotek (SO) snarere end en typisk eksekverbar fil, som brugere skal køre for at inficere en vært. Når den er inficeret, indlæses SO’en i aktuelt kørende processer på målmaskinen.

De inficerede computere giver trusselsaktører muligheden for at høste legitimationsoplysninger, udnytte fjernadgangsmuligheder og udføre kommandoer med ellers uautoriserede forhøjede rettigheder. Malwaren indlæses før andre delte objekter via LD_PRELOAD-direktivet, tillader det for at undgå opdagelse. At blive indlæst først giver også malware mulighed for at udnytte andre indlæste biblioteksfiler.

Ud over de handlinger, der er beskrevet ovenfor, kan Symbiote skjule den inficerede maskines netværksaktivitet ved at oprette specifikke midlertidige filer, kapre inficeret pakkefiltreringsbytekode eller filtrere UDP-trafik ved hjælp af specifikke pakkeopsamlingsfunktioner. Det Brombær og Intezer blogs giver dybdegående forklaringer af hver metode, hvis du er til de tekniske detaljer.

Holdet opdagede først truslen i latinamerikansk-baserede finansielle institutioner i 2021. Siden da har teamet fastslået, at malwaren ikke deler kode med nogen anden kendt malware, og klassificerede den som en helt ny malwaretrussel mod Linux-operativsystemer. Mens den nye trussel er designet til at være svær at finde, kan administratorer bruge netværkstelemetri til at opdage unormale DNS-anmodninger. Sikkerhedsanalytikere og systemadministratorer kan også bruge statisk forbundet antivirus (AV) og endpoint detection and response (EDR) værktøjer for at sikre rootkits på brugerlandniveau inficer ikke målmaskiner.

lignende indlæg

Leave a Reply