Neue Linux-Malware Symbiote ist „fast unmöglich zu erkennen“

  • Eine Gruppe von Cybersecurity-Forschern von BlackBerry und Intezer hat eine neue Linux-Malware entdeckt, die nach Angaben der Unternehmen „fast unmöglich zu erkennen“ ist.

    Die als „Symbiote“ bezeichnete Bedrohung kann als Waffe eingesetzt werden, um eine Hintertür in infizierte Systeme einzubauen.

    „Symbiote unterscheidet sich von anderer Linux-Malware, auf die wir normalerweise stoßen, dadurch, dass er andere laufende Prozesse infizieren muss, um auf infizierten Rechnern Schaden anzurichten“, schreiben BlackBerry und Intezer in einem gemeinsamen Blog-Post.

    Mit anderen Worten: Symbiote ist keine eigenständige ausführbare Datei (die üblicherweise ausgeführt werden muss, um einen Computer zu infizieren), sondern eine gemeinsam genutzte Objektbibliothek (SO), die in alle laufenden Prozesse geladen wird.

    „Sobald es alle laufenden Prozesse infiziert hat, bietet es dem Bedrohungsakteur Rootkit-Funktionalität, die Möglichkeit, Anmeldeinformationen zu sammeln und Fernzugriffsmöglichkeiten“, schreiben die Forscher.

    Darüber hinaus kann eine forensische Live-Untersuchung eines infizierten Computers keine Spuren der Infektion aufzeigen, da alle Dateien, Prozesse und Netzwerkartefakte automatisch von der Malware verborgen werden.

    Technisch gesehen nutzt Symbiote die Berkeley Packet Filter (BPF) Hooking-Funktionalität, um bösartigen Netzwerkverkehr auf einem infizierten Rechner zu verbergen und so die Versuche der Administratoren zu umgehen, verdächtige Pakete zu identifizieren und zu erfassen.

    „Wenn ein Administrator ein beliebiges Paketaufzeichnungstool auf dem infizierten Rechner startet, wird BPF-Bytecode in den Kernel injiziert, der definiert, welche Pakete aufgezeichnet werden sollen“, heißt es in dem Beitrag.

    „Bei diesem Prozess fügt Symbiote seinen Bytecode zuerst ein, um den Netzwerkverkehr herauszufiltern, den die Paketerfassungssoftware nicht sehen soll.

    Die Forscher erklärten jedoch, dass die Netzwerk-Telemetrie verwendet werden könnte, um anomale DNS-Anfragen zu erkennen.

    Die Gruppe warnte die Sicherheitsgemeinschaft auch, dafür zu sorgen, dass Sicherheitstools wie Antivirus und Endpoint Detection and Response (EDR) statisch verknüpft sind, um sicherzustellen, dass sie nicht von Userland-Rootkits „infiziert“ werden.

    Obwohl das Team seine Forschungsergebnisse erst diese Woche veröffentlichte, gab es an, dass es die Malware erstmals im November 2021 bei verschiedenen Finanzinstituten in Lateinamerika entdeckt hatte.

    Die Behauptungen stützen sich auf die Tatsache, dass die von der Symbiote-Malware verwendeten Domainnamen sich als einige große brasilianische Banken ausgaben.

    BlackBerry und Intezer erklärten, dass sie die Zuordnung nicht bestätigen können, dass es sich bei der Malware jedoch um eine völlig neue Bedrohung zu handeln scheint.

    „Als wir die Proben zunächst mit Intezer Analyze analysierten, wurde nur eindeutiger Code entdeckt. […] Da Symbiote keinen gemeinsamen Code mit Ebury/Windigo oder anderer bekannter Malware hat, können wir mit Sicherheit davon ausgehen, dass Symbiote eine neue, unentdeckte Linux-Malware ist.“

    Einige Teile dieses Artikels stammen aus:
    www.infosecurity-magazine.com