Cybersecurity-Forscher haben eine „fast unmöglich zu entdeckende“ Linux-Malware enthüllt, die als Waffe eingesetzt werden könnte, um infizierte Systeme mit Hintertüren zu versehen.
Die von den Bedrohungsforschungsunternehmen BlackBerry und Intezer als Symbiote bezeichnete Schadsoftware kann sich in laufenden Prozessen und im Netzwerkverkehr verstecken und die Ressourcen des Opfers wie ein Parasit ausnutzen.
Es wird vermutet, dass die Betreiber von Symbiote im November 2021 mit der Entwicklung der Malware begonnen haben. Die Bedrohungsakteure nutzen die Malware vor allem, um den Finanzsektor in Lateinamerika anzugreifen, darunter Banken wie Banco do Brasil und Caixa.
„Das Hauptziel von Symbiote ist es, Zugangsdaten abzufangen und sich durch eine Hintertür Zugang zum Rechner des Opfers zu verschaffen“, schreiben die Forscher Joakim Kennedy und Ismael Valenzuela in einem Bericht an The Hacker News. „Symbiote unterscheidet sich von anderer Linux-Malware dadurch, dass er laufende Prozesse infiziert, anstatt eine eigenständige ausführbare Datei zu verwenden, um Schaden anzurichten.
Symbiote nutzt dazu eine Linux-eigene Funktion namens LD_PRELOAD – eine Methode, die bereits von Malware wie Pro-Ocean und Facefish verwendet wurde – um vom dynamischen Linker in alle laufenden Prozesse geladen zu werden und den Host zu infizieren.
Symbiote ist nicht nur in der Lage, seine Präsenz im Dateisystem zu verbergen, sondern auch seinen Netzwerkverkehr zu verschleiern, indem er den erweiterten Berkeley Packet Filter (eBPF) nutzt. Dazu schleust er sich in den Prozess einer Prüfsoftware ein und nutzt den eBPF, um Ergebnisse herauszufiltern, die seine Aktivitäten aufdecken würden.
Nachdem Symbiote alle laufenden Prozesse gekapert hat, aktiviert er die Rootkit-Funktionalität, um die Beweise für seine Existenz weiter zu verschleiern, und bietet dem Bedrohungsakteur eine Hintertür, um sich auf dem Rechner anzumelden und privilegierte Befehle auszuführen. Es wurde auch beobachtet, dass er erbeutete Anmeldedaten verschlüsselt in Dateien speichert, die sich als C-Header-Dateien tarnen.
Es ist nicht das erste Mal, dass eine Malware mit ähnlichen Fähigkeiten in freier Wildbahn gesichtet wurde. Im Februar 2014 enthüllte ESET eine Linux-Backdoor namens Ebury, die dazu dient, OpenSSH-Anmeldeinformationen zu stehlen und den Zugang zu einem kompromittierten Server zu erhalten.
Außerdem wurden fast einen Monat später Details über ein passives Linux-Implantat namens BPFDoor bekannt, das einen Berkeley Packet Filter (BPF) Sniffer lädt, um den Netzwerkverkehr zu überwachen und eine Bind-Shell zu starten, während es die Firewall-Schutzmaßnahmen umgeht.
„Da die Malware als Rootkit auf Benutzerebene arbeitet, kann es schwierig sein, eine Infektion zu erkennen“, so die Forscher. „Netzwerk-Telemetrie kann verwendet werden, um anomale DNS-Anfragen zu erkennen, und Sicherheitstools wie AVs und EDRs sollten statisch verknüpft werden, um sicherzustellen, dass sie nicht von Userland-Rootkits ‚infiziert‘ sind.“