Categories: CybersicherheitVirus

Symbiote: Fortschrittliche neue Linux-Malware entdeckt

Forscher von Blackberrys Threat Research and Intelligence Team haben in Zusasmmenarbeit mit Joakim Kennedy vom Sicherheitsanbieter Intezer eine neue Schadsoftware für Linux entdeckt. Aufgrund ihres parasitären Verhaltens wird sie als Symbiote bezeichnet. Eine weitere Besonderheit: Es ist nahezu unmöglich, die Malware aufzuspüren.

Erstmals stießen die Forscher vor einigen Monaten auf Symbiote. Die Malware unterscheidet sich in einem wichtigen Punkt von heute üblichen Schadprogrammen für Linux. Statt zu versuchen, einen laufenden Prozess zu kompromittieren, agiert Symbiote als Shared Object, das via LD_PRELOAD mit allen laufenden Prozessen geladen wird.

Den Forschern zufolge kompromittiert die Shared-Object-Bibliothek ein infiziertes System wie ein Parasit. Sobald es Symbiote gelungen sei, tief in ein System einzudringen, biete die Malware den Angreifern die Funktionen eines Rootkit.

Symbiote verbirgt den eigenen Datenverkehr im Netzwerk

Die ersten von Symbiote im November entdeckten Muster waren anscheinend auf Finanzinstitute in Südamerika ausgerichtet. Da sich die Malware aber einer Erkennung entzieht, sind sich die Forscher nicht sicher, ob sie ausschließlich für zielgerichtete Attacken oder gegen vielfältige Ziele eingesetzt wird – oder ob sie überhaupt noch aktiv ist.

Einer Erkennung entgeht Symbiote unter anderem durch die Nutzung einer als Berkeley Packet Filter (BPF) Hooking bezeichneten Technik. Sie wurde entwickelt, um schädlichen Datenverkehr auf einem infizierten System zu verbergen. Eingesetzt wird sie auch von Malware der Equation Group.

„Wenn ein Administrator ein beliebiges Paketaufzeichnungstool auf dem infizierten Computer startet, wird BPF-Bytecode in den Kernel injiziert, der definiert, welche Pakete aufgezeichnet werden sollen”, erklärte BlackBerry. “Bei diesem Prozess fügt Symbiote seinen Bytecode zuerst ein, um den Netzwerkverkehr herauszufiltern, den die Paketerfassungssoftware nicht sehen soll.“

Darüber hinaus richtet sich die Malware so unter Linux ein, dass sie vor anderen Shared Objects geladen wird. Das erlaubt es ihr, sich im System zu verbergen. Auch andere Dateien, die zu Symbiote gehören, werden im System versteckt. Außerdem werden die Netzwerkeinträge der Malware kontinuierlich gelöscht.

„Als wir die Muster von Symbiote zum ersten Mal mit Intezer Analyze analysierten, wurde nur einzigartiger Code entdeckt”, so die Forscher. “Da Symbiote und Ebury/Windigo oder andere bekannte Linux-Schadprogramme keinen gemeinsamen Code haben, können wir mit Sicherheit davon ausgehen, dass Symbiote eine neue, unentdeckte Linux-Malware ist.“

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die Redaktionen von Silicon.de und ZDNet.de. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Banken und Versicherer sind KI-Großabnehmer

Ein Großteil der weltweiten KI-Gelder fließt in den Finanzsektor. 2023 wurden in der Branche 87…

18 Stunden ago

Siemens legt 10 Milliarden Dollar für Software-Spezialisten auf den Tisch

Die Übernahme des US-amerikanischen Anbieters Altair Engineering soll die Position im Markt für Computational Science…

19 Stunden ago

Standortübergreifender KI-Einsatz im OP-Saal

Ein deutsch-französisches Projekt hat hybride Operationssäle entwickelt, die durch 5G-Netz und KI neue Anwendungen ermöglichen.

20 Stunden ago

OT-Security braucht zunächst Asset-Transparenz

Unternehmen wissen oft nicht, welche Geräte in der Produktion eine IP-Adresse haben, warnt Peter Machat…

4 Tagen ago

Künstliche Intelligenz erreicht die Cloud

KPMG-Studie: 97 Prozent der Cloud-nutzenden Unternehmen verwenden KI-Dienste von Cloud-Anbietern.

5 Tagen ago

AI Act: Durchblick im Regulierungsdickicht

Bitkom veröffentlicht Online-Tool und Leitfaden zum KI-Einsatz in Unternehmen. Beide Angebote sind kostenlos.

5 Tagen ago