Forscher von Blackberrys Threat Research and Intelligence Team haben in Zusasmmenarbeit mit Joakim Kennedy vom Sicherheitsanbieter Intezer eine neue Schadsoftware für Linux entdeckt. Aufgrund ihres parasitären Verhaltens wird sie als Symbiote bezeichnet. Eine weitere Besonderheit: Es ist nahezu unmöglich, die Malware aufzuspüren.
Erstmals stießen die Forscher vor einigen Monaten auf Symbiote. Die Malware unterscheidet sich in einem wichtigen Punkt von heute üblichen Schadprogrammen für Linux. Statt zu versuchen, einen laufenden Prozess zu kompromittieren, agiert Symbiote als Shared Object, das via LD_PRELOAD mit allen laufenden Prozessen geladen wird.
Den Forschern zufolge kompromittiert die Shared-Object-Bibliothek ein infiziertes System wie ein Parasit. Sobald es Symbiote gelungen sei, tief in ein System einzudringen, biete die Malware den Angreifern die Funktionen eines Rootkit.
Symbiote verbirgt den eigenen Datenverkehr im Netzwerk
Die ersten von Symbiote im November entdeckten Muster waren anscheinend auf Finanzinstitute in Südamerika ausgerichtet. Da sich die Malware aber einer Erkennung entzieht, sind sich die Forscher nicht sicher, ob sie ausschließlich für zielgerichtete Attacken oder gegen vielfältige Ziele eingesetzt wird – oder ob sie überhaupt noch aktiv ist.
Einer Erkennung entgeht Symbiote unter anderem durch die Nutzung einer als Berkeley Packet Filter (BPF) Hooking bezeichneten Technik. Sie wurde entwickelt, um schädlichen Datenverkehr auf einem infizierten System zu verbergen. Eingesetzt wird sie auch von Malware der Equation Group.
„Wenn ein Administrator ein beliebiges Paketaufzeichnungstool auf dem infizierten Computer startet, wird BPF-Bytecode in den Kernel injiziert, der definiert, welche Pakete aufgezeichnet werden sollen”, erklärte BlackBerry. “Bei diesem Prozess fügt Symbiote seinen Bytecode zuerst ein, um den Netzwerkverkehr herauszufiltern, den die Paketerfassungssoftware nicht sehen soll.“
Darüber hinaus richtet sich die Malware so unter Linux ein, dass sie vor anderen Shared Objects geladen wird. Das erlaubt es ihr, sich im System zu verbergen. Auch andere Dateien, die zu Symbiote gehören, werden im System versteckt. Außerdem werden die Netzwerkeinträge der Malware kontinuierlich gelöscht.
„Als wir die Muster von Symbiote zum ersten Mal mit Intezer Analyze analysierten, wurde nur einzigartiger Code entdeckt”, so die Forscher. “Da Symbiote und Ebury/Windigo oder andere bekannte Linux-Schadprogramme keinen gemeinsamen Code haben, können wir mit Sicherheit davon ausgehen, dass Symbiote eine neue, unentdeckte Linux-Malware ist.“
LLMs besitzen einerseits innovative neue Fähigkeiten, stellen Unternehmen allerdings auch vor diverse Herausforderungen: ob EU…
Server-Ausbau in den USA und China macht große Fortschritte, deutscher Weltmarktanteil sinkt. Lichtblicke in Frankfurt…
Der Markt für Workplace Services gerät in Bewegung. Das bestmögliche digitale Nutzererlebnis gilt als Schlüssel…
Schutz für 10.000 Postfächer über rund 200 Domains: Private-Stack-Variante kombiniert Vorteile einer Cloud-Lösung mit Sicherheit…
Huawei Connect Paris: Innovationen rund um Data Center, Storage und IT-Sicherheit.
Mit KI optimieren Hacker ihre Angriffsversuche. Ist CIAM eine Lösung, mit der sich Unternehmen vor…