Bekijk alle channels
  • Home
  • Industry Wire
  • BlackBerry onderzoekers ontdekken Symbiote: een nieuwe, bijna onmogelijk te detecteren Linux bedreiging

Industry Wire

Geplaatst door Blackberry

BlackBerry onderzoekers ontdekken Symbiote: een nieuwe, bijna onmogelijk te detecteren Linux bedreiging

Amsterdam, 9 juni 2022 – In een gezamenlijk onderzoek van Intezer en het BlackBerry Research & Intelligence Team hebben de onderzoekers een nieuwe, nog niet ontdekte malware ontdekt die werkt als een symbiont. De malware die Linux®-besturingssystemen aantast en zichzelf verbergt, in lopende processen en netwerkverkeer, is erop gebrand om bronnen te stelen.

Verstopt in de verkeersstroom
Het hoofddoel van deze malware die we “Symbiote” noemen, is het buitmaken van inloggegevens en het verschaffen van toegang via een achterdeur tot de computer van een slachtoffer. Aangezien de malware zoveel manieren heeft om zichzelf te verbergen, waaronder rootkit-functionaliteit, kan het moeilijk zijn om een infectie te detecteren. Deze bedreiging verbergt niet alleen zijn aanwezigheid op het bestandssysteem; hij verbergt ook zijn netwerkverkeer door gebruik te maken van de Berkeley Packet Filter (BPF) hooking functionaliteit. Wat Symbiote onderscheidt van andere Linux-malware is zijn vermogen om lopende processen te infecteren, in plaats van een standalone uitvoerbaar bestand te gebruiken om schade aan te richten.
In de praktijk
Hoe deze techniek werkt: Wanneer het aan elk proces wordt toegevoegd door de dynamische linker die deel uitmaakt van het besturingssysteem, kan de malware filteren welke resultaten worden weergegeven. Als de beheerder een packet capture start op de geïnfecteerde machine om verdacht netwerkverkeer op een geïnfecteerde machine te onderzoeken, zal Symbiote zichzelf in alle processen hebben geïnjecteerd zodat het BPF hooking kan gebruiken om resultaten te verwijderen die zijn activiteit zouden onthullen.
Nu aanvallers hun aandacht steeds meer richten op cloudservers en workloads, verwachten de onderzoekers dat Linux-dreigingen zullen toenemen. Symbiote is een van de meest geraffineerde Linux-dreigingen die de onderzoekers de afgelopen tijd hebben gezien, maar trends die zijn waargenomen in het huidige bedreigingslandschap suggereren dat het niet de laatste zal zijn.

Dit artikel is een ingezonden bericht en valt buiten de verantwoordelijkheid van de redactie.

Deel dit bericht