Categories: CybersicherheitVirus

Symbiote: Fortschrittliche neue Linux-Malware entdeckt

Forscher von Blackberrys Threat Research and Intelligence Team haben in Zusasmmenarbeit mit Joakim Kennedy vom Sicherheitsanbieter Intezer eine neue Schadsoftware für Linux entdeckt. Aufgrund ihres parasitären Verhaltens wird sie als Symbiote bezeichnet. Eine weitere Besonderheit: Es ist nahezu unmöglich, die Malware aufzuspüren.

Erstmals stießen die Forscher vor einigen Monaten auf Symbiote. Die Malware unterscheidet sich in einem wichtigen Punkt von heute üblichen Schadprogrammen für Linux. Statt zu versuchen, einen laufenden Prozess zu kompromittieren, agiert Symbiote als Shared Object, das via LD_PRELOAD mit allen laufenden Prozessen geladen wird.

Den Forschern zufolge kompromittiert die Shared-Object-Bibliothek ein infiziertes System wie ein Parasit. Sobald es Symbiote gelungen sei, tief in ein System einzudringen, biete die Malware den Angreifern die Funktionen eines Rootkit.

Symbiote verbirgt den eigenen Datenverkehr im Netzwerk

Die ersten von Symbiote im November entdeckten Muster waren anscheinend auf Finanzinstitute in Südamerika ausgerichtet. Da sich die Malware aber einer Erkennung entzieht, sind sich die Forscher nicht sicher, ob sie ausschließlich für zielgerichtete Attacken oder gegen vielfältige Ziele eingesetzt wird – oder ob sie überhaupt noch aktiv ist.

Einer Erkennung entgeht Symbiote unter anderem durch die Nutzung einer als Berkeley Packet Filter (BPF) Hooking bezeichneten Technik. Sie wurde entwickelt, um schädlichen Datenverkehr auf einem infizierten System zu verbergen. Eingesetzt wird sie auch von Malware der Equation Group.

„Wenn ein Administrator ein beliebiges Paketaufzeichnungstool auf dem infizierten Computer startet, wird BPF-Bytecode in den Kernel injiziert, der definiert, welche Pakete aufgezeichnet werden sollen”, erklärte BlackBerry. “Bei diesem Prozess fügt Symbiote seinen Bytecode zuerst ein, um den Netzwerkverkehr herauszufiltern, den die Paketerfassungssoftware nicht sehen soll.“

Darüber hinaus richtet sich die Malware so unter Linux ein, dass sie vor anderen Shared Objects geladen wird. Das erlaubt es ihr, sich im System zu verbergen. Auch andere Dateien, die zu Symbiote gehören, werden im System versteckt. Außerdem werden die Netzwerkeinträge der Malware kontinuierlich gelöscht.

„Als wir die Muster von Symbiote zum ersten Mal mit Intezer Analyze analysierten, wurde nur einzigartiger Code entdeckt”, so die Forscher. “Da Symbiote und Ebury/Windigo oder andere bekannte Linux-Schadprogramme keinen gemeinsamen Code haben, können wir mit Sicherheit davon ausgehen, dass Symbiote eine neue, unentdeckte Linux-Malware ist.“

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die Redaktionen von Silicon.de und ZDNet.de. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

KI auf dem Prüfstand

LLMs besitzen einerseits innovative neue Fähigkeiten, stellen Unternehmen allerdings auch vor diverse Herausforderungen: ob EU…

9 Stunden ago

Rechenzentren: Deutschland verliert Anschluss

Server-Ausbau in den USA und China macht große Fortschritte, deutscher Weltmarktanteil sinkt. Lichtblicke in Frankfurt…

13 Stunden ago

KI steigert Nachfrage nach hybriden Workplace-Umgebungen

Der Markt für Workplace Services gerät in Bewegung. Das bestmögliche digitale Nutzererlebnis gilt als Schlüssel…

14 Stunden ago

Hagebau erreicht E-Mail-Sicherheit mit der NoSpamProxy Cloud

Schutz für 10.000 Postfächer über rund 200 Domains: Private-Stack-Variante kombiniert Vorteile einer Cloud-Lösung mit Sicherheit…

1 Tag ago

Rechenzentrumsnetzwerke als Schlüssel für Desaster Recovery

Huawei Connect Paris: Innovationen rund um Data Center, Storage und IT-Sicherheit.

1 Tag ago

Cybersecurity mit KI: Strategischer Vorteil oder Sicherheitsrisiko?

Mit KI optimieren Hacker ihre Angriffsversuche. Ist CIAM eine Lösung, mit der sich Unternehmen vor…

2 Tagen ago