Mã độc Symbiote mới có khả năng lây nhiễm tất cả các tiến trình đang chạy trên máy tính Linux

Một mã độc Linux mới được phát hiện có tên là Symbiote đang gây ra mối đe dọa lớn cho cộng đồng người dùng. Lý do là vì Symbiote có khả năng lây nhiễm vào tất cả các tiến trình đang chạy trên hệ thống bị xâm nhập để đánh cắp thông tin đăng nhập tài khoản và các dữ liệu khác sau đó gửi về cho chủ nhân của nó.

Sau khi lây nhiễm vào các quy trình đang chạy, Symbiote hoạt động như một ký sinh trùng trên toàn hệ thống, không để lại bất kỳ dấu hiệu nào cho thấy máy tính bị lây nhiễm. Ngay cả những kiểm tra chuyên sâu, tỉ mỉ nhất cũng không thể phát hiện ra.

Symbiote sử dụng chức năng kết nối BPF (Berkeley Packet Filter) để theo dõi các gói dữ liệu mạng và ẩn các kênh liên lạc của chính nó khỏi các công cụ bảo mật.

Các nhà nghiên cứu bảo mật của BlackBerry và Intezer Labs đã phát hiện ra sự tồn tại của Symbiote. Họ đã hợp tác chặt chẽ cùng nhau để khám phá tất cả các khía cạnh của mã độc này sau đó công bố trong một bản báo cáo kỹ thuật chi tiết. Theo họ, Symbiote tích cực phát triển kể từ năm ngoái.

Lây nhiễm toàn hệ thống thông qua các đối tượng được chia sẻ

Thường thì mã độc được lây lan qua các tệp thực thi. Tuy nhiên, Symbiote lại là một thư viện đối tượng được chia sẻ (SO) được tải vào các quy trình đang chạy bằng cách dùng chỉ thị LD_PRELOAD để giành quyền ưu tiên so với các SO khác.

Do được tải đầu tiên, Symbiote có thể kết nối với các chức năng "libc" và "libpcap" và thực hiện các hành động khác nhau để che giấu sự hiện diện của nó như ẩn các quy trình ký sinh, ẩn các tệp được triển khai với phần mềm độc hại...

"Khi nó tự lây nhiễm chính nó vào các quy trình, mã độc có thể chọn kết quả mà nó hiển thị", các nhà nghiên cứu cho biết. "Nếu quản trị viên bắt đầu thu thập các gói trên máy bị nhiễm để điều tra lưu lượng truy cập mạng bất thường, Symbiote sẽ tự đưa nó vào quy trình của phần mềm kiểm tra và sử dụng BPF hooking để lọc ra các kết quả có thể tiết lộ hoạt động của nó".

Để ẩn các hoạt động mạng độc hại của mình, Symbiote sẽ xóa các mục kết nối mà nó muốn ẩn, thực hiện lọc gói qua BPF và loại bỏ lưu lượng UDP đến các tên miền trong danh sách của nó.

Backdoor và đánh cắp dữ liệu

Symbiote chủ yếu được dùng để đánh cắp thông tin xác thực từ các máy Linux bị tấn công một cách lén lút. Khi nhắm vào đúng các máy chủ Linux trong các tổ chức, cơ quan lớn, Symbiote sẽ gây ra vấn đề nghiêm trọng. Nếu đánh cắp được mật khẩu của quản trị viên, con đường lây nhiễm ngang hàng sẽ không bị cản trở và hacker cũng nắm trong tay quyền truy cập không giới hạn vào toàn bộ hệ thống.

Ngoài ra, Symbiote còn cung cấp cho kẻ tấn công quyền truy cập SHH từ xa vào máy thông qua dịch vụ PAM đồng thời cung cấp một phương thức để kẻ tấn công có được đặc quyền root trên hệ thống.

Mục tiêu của Symbiote là các thực thể trong lĩnh vực tài chính ở khu vực Mỹ Latinh, mạo danh các ngân hàng và cảnh sát liên bang Brazil...

Do phương thức lây nhiễm tinh vi, Symbiote rất khó bị phát hiện. Do vậy, quản trị viên nên quan tâm nhiều hơn tới lưu lượng truy cập mạng. Network telemetry có thể được dùng để phát hiện các yêu cầu DNS bất thường và các công cụ bảo mật như phần mềm diệt virus và Endpoint Detection and Response (EDR) cần được liên kết tĩnh để đảm bảo chúng không bị nhiễm mã độc.

Các chuyên gia dự đoán trong thời gian tới, số lượng các cuộc tấn công của mã độc với khả năng trốn tránh giỏi như Symbiote sẽ gia tăng đáng kể. Chính vì thế, các quản trị viên, kỹ sư bảo mật nên chuẩn bị sẵn các phương án phòng ngừa, đối phó.