Linux-Malware wird als „fast unmöglich“ zu erkennen eingestuft

  • Die im November entdeckte Symbiote infiziert laufende Prozesse, um Anmeldedaten zu stehlen, Rootkit-Funktionen zu erlangen und eine Hintertür für den Fernzugriff zu installieren.

    Eine neue Linux-Malware, die „fast unmöglich zu erkennen“ ist, kann Anmeldedaten stehlen und Angreifern Fernzugriff und Rootkit-Funktionen ermöglichen, indem sie sich parasitär verhält, um Ziele zu infizieren, so Forscher.

    Forscher des BlackBerry Research and Intelligence Team haben die Malware aufgespürt, die früheste Entdeckung stammt aus dem November 2021, schrieb der Sicherheitsforscher Joakim Kennedy in einem Blogbeitrag auf dem BlackBerry Threat Vector Blog, der letzte Woche veröffentlicht wurde.

    Die Forscher haben die Malware, die offenbar für den Finanzsektor in Lateinamerika geschrieben wurde, passenderweise „Symbiont“ genannt. In der Biologie bedeutet das Wort einen Organismus, der in Symbiose mit einem anderen Organismus lebt.

    Der Name ist eine Hommage an die Funktionsweise der Malware, die sich von der anderer Linux-Malware unterscheidet, auf die Forscher gestoßen sind, erklärte Kennedy.

    „Was Symbiote von anderen unterscheidet … ist, dass es andere laufende Prozesse infizieren muss, um auf infizierten Rechnern Schaden anzurichten“, schrieb er. „Anstatt eine eigenständige ausführbare Datei zu sein, die ausgeführt wird, um einen Rechner zu infizieren, handelt es sich um eine gemeinsam genutzte Objektbibliothek (SO), die mit LD_PRELOAD (T1574.006) in alle laufenden Prozesse geladen wird und den Rechner parasitär infiziert.“

    Sobald Symbiote alle laufenden Prozesse infiziert hat, kann ein Bedrohungsakteur verschiedene schändliche Aktivitäten durchführen, darunter Rootkit-Funktionen, die Möglichkeit, Anmeldeinformationen zu sammeln, und Fernzugriffsfunktionen, so Kennedy.

    Neben der Rootkit-Funktionalität bietet die Malware auch eine Hintertür, über die sich der Bedrohungsakteur mit einem fest kodierten Kennwort als beliebiger Benutzer auf dem Computer anmelden und Befehle mit den höchsten Privilegien ausführen kann, fügte er hinzu.

    Ausweichmanöver

    Das Verhalten von Symbiote ist nicht das Einzige, was es einzigartig macht, so die Forscher. Symbiote ist auch so ausweichend, dass es „wahrscheinlich unter dem Radar fliegt“, was es extrem schwierig macht, herauszufinden, ob es überhaupt von Bedrohungsakteuren verwendet wird, sagte er.

    Einige seiner Ausweichtaktiken bestehen darin, dass er vom Linker über die Direktive LD_PRELOAD geladen wird, wodurch er vor allen anderen freigegebenen Objekten geladen werden kann, so die Forscher. Dieses Privileg, als erstes geladen zu werden, ermöglicht es ihm, die Importe der anderen Bibliotheksdateien, die für die Anwendung geladen werden, zu übernehmen, so die Forscher. Auf diese Weise kann es seine Anwesenheit auf dem Rechner verbergen, indem es sich in die Funktionen von libc und libpcap einklinkt, so Kennedy.

    „Sobald die Malware einen Computer infiziert hat, verbirgt sie sich selbst und jede andere Malware, die von dem Bedrohungsakteur verwendet wird, wodurch Infektionen sehr schwer zu erkennen sind“, erklärte er. „Eine forensische Live-Untersuchung eines infizierten Rechners führt möglicherweise zu keinem Ergebnis, da alle Dateien, Prozesse und Netzwerkartefakte von der Malware verborgen werden.“

    Tatsächlich konnten die Forscher nach eigenen Angaben nicht genügend Beweise finden, um festzustellen, ob Bedrohungsakteure Symbiote derzeit „für sehr gezielte oder breit angelegte Angriffe“ einsetzen.

    Ungewöhnliche DNS-Anfragen könnten eine Möglichkeit sein, um zu erkennen, ob die Malware auf einem System vorhanden ist, so die Forscher. Typische Antiviren- oder andere Sicherheitstools, die auf die Erkennung von und Reaktion auf Endpunkte abzielen, werden Symbiote jedoch nicht aufspüren, so dass Unternehmen, die Linux verwenden und sich auf diesen Schutz verlassen, gefährdet sind, so die Forscher.

    Ziele

    Das Hauptziel der Angreifer bei der Verwendung von Symbiote ist es, „Anmeldeinformationen abzufangen und den Backdoor-Zugang zu infizierten Computern zu erleichtern“, so Kennedy. Er beschrieb detailliert, wie die Malware diese beiden Ziele erreicht.

    Wenn ein ssh- oder scp-Prozess die Funktion aufruft, erfasst Symbiote die Anmeldedaten, die zunächst mit RC4 und einem eingebetteten Schlüssel verschlüsselt und dann in eine Datei geschrieben werden, so Kennedy.

    Angreifer stehlen die Anmeldedaten nicht nur lokal für den Zugriff, sondern exfiltrieren sie auch, indem sie die Daten hexkodieren und in Stücke schneiden, um sie über DNS-Adressdatensatzanforderungen an einen von ihnen kontrollierten Domänennamen zu senden, fügte er hinzu.

    Um Fernzugriff auf einen infizierten Computer zu erlangen, klinkt sich die Malware in einige Funktionen des Linux Pluggable Authentication Module (PAM) ein, wodurch sie sich bei jedem Dienst, der PAM verwendet, am Computer authentifizieren kann – auch bei Remote-Diensten wie Secure Shell (SSH), so Kennedy.

    „Wenn ein Dienst versucht, PAM zur Authentifizierung eines Benutzers zu verwenden, prüft die Malware das angegebene Kennwort mit einem fest codierten Kennwort“, erklärte er. „Wenn das angegebene Passwort übereinstimmt, gibt die Hooked-Funktion eine erfolgreiche Antwort zurück.“

    Sobald der Bedrohungsakteur die Authentifizierung durchgeführt hat, ermöglicht Symbiote einem Angreifer, Root-Rechte zu erlangen, indem er die Umgebung nach der Variable HTTP_SETTHIS durchsucht, so Kennedy.

    „Wenn die Variable mit Inhalt gesetzt ist, ändert die Malware die effektive Benutzer- und Gruppen-ID in den Root-Benutzer und löscht dann die Variable, bevor sie den Inhalt über den Systembefehl ausführt“, erklärte er.

    Einige Teile dieses Artikels stammen aus:
    threatpost.com