top of page

Symbiote nuevo malware que afecta a Linux y no se detecta con los métodos normales

Un nuevo descubrimiento ha dejado asombrados a los especialistas en el área de seguridad cibernética y es que, algo que no se produce muy a menudo en el ámbito del malware: un backdoor de Linux maduro y nunca antes visto que utiliza novedosas técnicas de evasión para ocultar su presencia en los servidores infectados, en algunos casos incluso con una investigación forense. El jueves, los investigadores de Intezer y The BlackBerry afirmaron que el backdoor, hasta ahora no detectado, combina altos niveles de acceso con la capacidad de borrar cualquier signo de infección del sistema de archivos, los procesos del sistema y el tráfico de red. Denominado Symbiote y está dirigido a instituciones financieras de Brasil, el cual fue detectado por primera vez en noviembre. Los investigadores de Intezer y BlackBerry escribieron: “Lo que hace que Symbiote sea diferente de otros programas maliciosos para Linux que solemos encontrar, es que necesita infectar otros procesos en ejecución para infligir daños en las máquinas infectadas. En lugar de ser un archivo ejecutable independiente que se ejecuta para infectar una máquina, es una biblioteca de objetos compartidos (SO) que se carga en todos los procesos en ejecución utilizando LD_PRELOAD (T1574.006) e infecta parasitariamente la máquina. Una vez que ha infectado todos los procesos en ejecución, proporciona al actor de la amenaza la funcionalidad de rootkit, la capacidad de recoger credenciales y la capacidad de acceso remoto". Symbiote se carga antes que cualquier otro objeto compartido, gracias a la ayuda de LD_PRELOAD, permitiendo al malware manipular otros archivos de biblioteca cargados para una aplicación. La imagen siguiente muestra un resumen de todas las técnicas de evasión del malware. El BPF en la imagen se refiere al Berkeley Packet Filter, que permite ocultar el tráfico de red malicioso en una máquina infectada. "Cuando un administrador inicia cualquier herramienta de captura de paquetes en la máquina infectada, se inyecta el bytecode BPF en el kernel que define qué paquetes deben ser capturados", escribieron los investigadores. "En este proceso, Symbiote añade primero su bytecode para poder filtrar el tráfico de red que no quiere que vea el software de captura de paquetes". Una de las técnicas de ocultación que utiliza Symbiote se conoce como hooking de funciones libc. Pero el malware también utiliza el hooking en su papel de herramienta de robo de datos. "La recolección de credenciales se realiza enganchando la función de lectura libc" , escribieron los investigadores. "Si un proceso ssh o scp llama a la función, captura las credenciales".

Symbiote nuevo malware que afecta a Linux y no se detecta con los métodos normales

Un nuevo descubrimiento ha dejado asombrados a los especialistas en el área de seguridad informática y es que, algo que no se produce...

bottom of page