Noticias

Symbiote: una nueva amenaza para Linux casi imposible de detectar

Ars Technica Reporte:
Los investigadores hicieron un hallazgo que no se ve comúnmente en el mundo del malware: Una puerta trasera de Linux completa y nunca antes vista Utiliza técnicas novedosas de evasión para ocultar su presencia en los servidores infectados, en algunos casos incluso a través de investigaciones forenses.

El jueves, investigadores y Equipo de inteligencia e investigación de amenazas de BlackBerry Indica que una puerta trasera no detectada anteriormente combina un alto nivel de acceso con la capacidad de eliminar cualquier signo de infección del sistema de archivos, los procesos del sistema y el tráfico de la red. Conocido como Symbiote, apunta a instituciones financieras en Brasil y fue visto por primera vez en noviembre.

Los investigadores de Intezer y BlackBerry escribieron:

«Symbiote es diferente de otros programas maliciosos de Linux que normalmente encontramos en que necesita infectar otros procesos en ejecución para causar daños en la máquina infectada. No es un ejecutable independiente que se ejecuta para infectar la máquina, sino un objeto compartido (SO) biblioteca que se carga en todos los procesos en ejecución usando LD_PRECARGA (T1574.006)y parásitos infectan máquinas. Una vez que infecta todos los procesos en ejecución, proporciona al atacante capacidades de rootkit, la posibilidad de obtener credenciales y acceso remoto…»

Hasta el momento, no hay evidencia de infección en la naturaleza, solo muestras de malware encontradas en línea. Es poco probable que este malware esté muy extendido en este momento, pero con tanto sigilo, ¿cómo podemos estar seguros?

«Cuando se llama a la función de enlace, el malware primero carga dinámicamente libc y llama a la función original…» Según la publicación del blog de BlackBerry«Si la aplicación que llama intenta acceder a un archivo o carpeta bajo /proc, el malware borra el resultado del nombre del proceso en su lista… Si la aplicación que llama no intenta acceder a algo bajo /proc, entonces el malware limpia el resultado de la lista de archivos….

«Symbiote también tiene la capacidad de ocultar la actividad de la red en las máquinas infectadas».

Publicaciones relacionadas

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Botón volver arriba