Redactie - 11 juni 2022

Onderzoekers ontdekken bijna niet te detecteren Symbiote malware voor Linux

Onderzoekers ontdekken bijna niet te detecteren Symbiote malware voor Linux image

In een gezamenlijk onderzoek van Intezer en het BlackBerry Research & Intelligence Team hebben de onderzoekers een nieuwe, nog niet ontdekte malware ontdekt die werkt als een symbiont. De malware die Linux-besturingssystemen aantast en zichzelf verbergt, in lopende processen en netwerkverkeer, is erop gebrand om bronnen te stelen.

Het hoofddoel van deze malware die de onderzoekers "Symbiote" noemen, is het buitmaken van inloggegevens en het verschaffen van toegang via een achterdeur tot de computer van een slachtoffer. Aangezien de malware zoveel manieren heeft om zichzelf te verbergen, waaronder rootkit-functionaliteit, kan het moeilijk zijn om een infectie te detecteren.

Deze bedreiging verbergt niet alleen zijn aanwezigheid op het bestandssysteem; hij verbergt ook zijn netwerkverkeer door gebruik te maken van de Berkeley Packet Filter (BPF) hooking functionaliteit. Wat Symbiote onderscheidt van andere Linux-malware is zijn vermogen om lopende processen te infecteren, in plaats van een standalone uitvoerbaar bestand te gebruiken om schade aan te richten. 

Wanneer het aan elk proces wordt toegevoegd door de dynamische linker die deel uitmaakt van het besturingssysteem, kan de malware filteren welke resultaten worden weergegeven. Als de beheerder een packet capture start op de geïnfecteerde machine om verdacht netwerkverkeer op een geïnfecteerde machine te onderzoeken, zal Symbiote zichzelf in alle processen hebben geïnjecteerd zodat het BPF hooking kan gebruiken om resultaten te verwijderen die zijn activiteit zouden onthullen.

Nu aanvallers hun aandacht steeds meer richten op cloudservers en workloads, verwachten de onderzoekers dat Linux-dreigingen zullen toenemen. Symbiote is een van de meest geraffineerde Linux-dreigingen die de onderzoekers de afgelopen tijd hebben gezien, maar trends die zijn waargenomen in het huidige bedreigingslandschap suggereren volgens de onderzoekers dat het niet de laatste zal zijn.

Lenovo Channel Campagne vierkant Sophos 14/11/2024 t/m 28/11/2024 BN + BW
Axians 12/11/2024 t/m 26/11/2024 BN+BW

Wil jij dagelijkse updates?

Schrijf je dan in voor onze nieuwsbrief!