/bin/dev - IT Lounge

Полная версия: Symbiote - вредоносное ПО для Linux, которое почти не поддаётся обнаружению
Вы просматриваете упрощённую версию нашего контента. Просмотр полной версии с полным форматированием.
Исследователи из компаний BlackBerry и Intezer рассказали о новом вредоносном ПО для Linux под названием Symbiote. Он представляет собой библиотеку .so, которая подгружается во все процессы с помощью LD_PRELOAD, и может подменять вызовы libc и скрывать свой сетевой трафик. Также он может перехватывать функции чтения файлов. 

Для установки вредоноса в систему атакующий должен иметь root доступ.


https://www.intezer.com/blog/research/ne...-symbiote/
https://blogs.blackberry.com/en/2022/06/...nux-threat
Цитата:Для установки вредоноса в систему атакующий должен иметь root доступ.

Ну то есть как всегда. Надо еще и скомпилять, наверное? :)
(10.06.2022 07:Jun)Zhbert Написал: [ -> ]
Цитата:Для установки вредоноса в систему атакующий должен иметь root доступ.

Ну то есть как всегда. Надо еще и скомпилять, наверное? Smile

Так дело в том, что его очень трудно обнаружить, т.к. умеет подменять системные вызовы и скрывать своё присутствие в системе. В линуксах такого, как я понимаю, раньше не было.
(10.06.2022 07:Jun)ozz Написал: [ -> ]
(10.06.2022 07:Jun)Zhbert Написал: [ -> ]
Цитата:Для установки вредоноса в систему атакующий должен иметь root доступ.

Ну то есть как всегда. Надо еще и скомпилять, наверное? Smile

Так дело в том, что его очень трудно обнаружить, т.к. умеет подменять системные вызовы и скрывать своё присутствие в системе. В линуксах такого, как я понимаю, раньше не было.

Так а каким образом он попадает в систему?
(10.06.2022 07:Jun)Zhbert Написал: [ -> ]
(10.06.2022 07:Jun)ozz Написал: [ -> ]
(10.06.2022 07:Jun)Zhbert Написал: [ -> ]
Цитата:Для установки вредоноса в систему атакующий должен иметь root доступ.

Ну то есть как всегда. Надо еще и скомпилять, наверное? Smile

Так дело в том, что его очень трудно обнаружить, т.к. умеет подменять системные вызовы и скрывать своё присутствие в системе. В линуксах такого, как я понимаю, раньше не было.

Так а каким образом он попадает в систему?

Любым, каким смогли получить рута.

Тут дело не в этом. Эта штука умеет скрывать активность других процессов. И если она сама по себе может не нанести вред, то скрытые ею другие вредоносные процессы могут.
(10.06.2022 07:Jun)ozz Написал: [ -> ]
(10.06.2022 07:Jun)Zhbert Написал: [ -> ]
(10.06.2022 07:Jun)ozz Написал: [ -> ]
(10.06.2022 07:Jun)Zhbert Написал: [ -> ]
Цитата:Для установки вредоноса в систему атакующий должен иметь root доступ.

Ну то есть как всегда. Надо еще и скомпилять, наверное? Smile

Так дело в том, что его очень трудно обнаружить, т.к. умеет подменять системные вызовы и скрывать своё присутствие в системе. В линуксах такого, как я понимаю, раньше не было.

Так а каким образом он попадает в систему?

Любым, каким смогли получить рута.

Тут дело не в этом. Эта штука умеет скрывать активность других процессов. И если она сама по себе может не нанести вред, то скрытые ею другие вредоносные процессы могут.

Хм, ну тогда это печальный звоночек. Эдак мы скоро придем к антивирусам под линукс Smile
(10.06.2022 07:Jun)Zhbert Написал: [ -> ]
(10.06.2022 07:Jun)ozz Написал: [ -> ]
(10.06.2022 07:Jun)Zhbert Написал: [ -> ]
(10.06.2022 07:Jun)ozz Написал: [ -> ]
(10.06.2022 07:Jun)Zhbert Написал: [ -> ]
Цитата:Для установки вредоноса в систему атакующий должен иметь root доступ.

Ну то есть как всегда. Надо еще и скомпилять, наверное? Smile

Так дело в том, что его очень трудно обнаружить, т.к. умеет подменять системные вызовы и скрывать своё присутствие в системе. В линуксах такого, как я понимаю, раньше не было.

Так а каким образом он попадает в систему?

Любым, каким смогли получить рута.

Тут дело не в этом. Эта штука умеет скрывать активность других процессов. И если она сама по себе может не нанести вред, то скрытые ею другие вредоносные процессы могут.

Хм, ну тогда это печальный звоночек. Эдак мы скоро придем к антивирусам под линукс Smile

Так они давно уже есть.

https://www.clamav.net
https://www.esetnod32.ru/business/products/efs_linux/
https://www.kaspersky.ru/small-to-medium...oint-linux
https://products.drweb.ru/fileserver/unix/

У последних трёх даже для десктопа варианты есть.
Есть != нужны.
(10.06.2022 08:Jun)Zhbert Написал: [ -> ]Есть != нужны.

Ну, ты не написал про "нужны" =)
(10.06.2022 08:Jun)Zhbert Написал: [ -> ]Есть != нужны
Вы не поверите... Но это давно весьма нужная штука. Ровно на столько же, насколько она нужна и под виндами... На самом деле, вредоносную активность можно и без антивируса обнаруживать, в т.ч. и под "форточками", но как ещё один слой защиты он никому никогда не мешал.