/bin/dev - IT Lounge

Исследователи из компаний BlackBerry и Intezer рассказали о новом вредоносном ПО для Linux под названием Symbiote. Он представляет собой библиотеку .so, которая подгружается во все процессы с помощью LD_PRELOAD, и может подменять вызовы libc и скрывать свой сетевой трафик. Также он может перехватывать функции чтения файлов. 

Для установки вредоноса в систему атакующий должен иметь root доступ.


https://www.intezer.com/blog/research/ne...-symbiote/
https://blogs.blackberry.com/en/2022/06/...nux-threat

Цитата:Для установки вредоноса в систему атакующий должен иметь root доступ.

Ну то есть как всегда. Надо еще и скомпилять, наверное? :)

(10.06.2022 07:Jun)Zhbert Написал:

Цитата:Для установки вредоноса в систему атакующий должен иметь root доступ.

Ну то есть как всегда. Надо еще и скомпилять, наверное?

Так дело в том, что его очень трудно обнаружить, т.к. умеет подменять системные вызовы и скрывать своё присутствие в системе. В линуксах такого, как я понимаю, раньше не было.

(10.06.2022 07:Jun)ozz Написал:

(10.06.2022 07:Jun)Zhbert Написал:

Цитата:Для установки вредоноса в систему атакующий должен иметь root доступ.

Ну то есть как всегда. Надо еще и скомпилять, наверное?

Так дело в том, что его очень трудно обнаружить, т.к. умеет подменять системные вызовы и скрывать своё присутствие в системе. В линуксах такого, как я понимаю, раньше не было.

Так а каким образом он попадает в систему?

(10.06.2022 07:Jun)Zhbert Написал:

(10.06.2022 07:Jun)ozz Написал:

(10.06.2022 07:Jun)Zhbert Написал:

Цитата:Для установки вредоноса в систему атакующий должен иметь root доступ.

Ну то есть как всегда. Надо еще и скомпилять, наверное?

Так дело в том, что его очень трудно обнаружить, т.к. умеет подменять системные вызовы и скрывать своё присутствие в системе. В линуксах такого, как я понимаю, раньше не было.

Так а каким образом он попадает в систему?

Любым, каким смогли получить рута.

Тут дело не в этом. Эта штука умеет скрывать активность других процессов. И если она сама по себе может не нанести вред, то скрытые ею другие вредоносные процессы могут.

(10.06.2022 07:Jun)ozz Написал:

(10.06.2022 07:Jun)Zhbert Написал:

(10.06.2022 07:Jun)ozz Написал:

(10.06.2022 07:Jun)Zhbert Написал:

Цитата:Для установки вредоноса в систему атакующий должен иметь root доступ.

Ну то есть как всегда. Надо еще и скомпилять, наверное?

Так дело в том, что его очень трудно обнаружить, т.к. умеет подменять системные вызовы и скрывать своё присутствие в системе. В линуксах такого, как я понимаю, раньше не было.

Так а каким образом он попадает в систему?

Любым, каким смогли получить рута.

Тут дело не в этом. Эта штука умеет скрывать активность других процессов. И если она сама по себе может не нанести вред, то скрытые ею другие вредоносные процессы могут.

Хм, ну тогда это печальный звоночек. Эдак мы скоро придем к антивирусам под линукс

(10.06.2022 07:Jun)Zhbert Написал:

(10.06.2022 07:Jun)ozz Написал:

(10.06.2022 07:Jun)Zhbert Написал:

(10.06.2022 07:Jun)ozz Написал:

(10.06.2022 07:Jun)Zhbert Написал:

Цитата:Для установки вредоноса в систему атакующий должен иметь root доступ.

Ну то есть как всегда. Надо еще и скомпилять, наверное?

Так дело в том, что его очень трудно обнаружить, т.к. умеет подменять системные вызовы и скрывать своё присутствие в системе. В линуксах такого, как я понимаю, раньше не было.

Так а каким образом он попадает в систему?

Любым, каким смогли получить рута.

Тут дело не в этом. Эта штука умеет скрывать активность других процессов. И если она сама по себе может не нанести вред, то скрытые ею другие вредоносные процессы могут.

Хм, ну тогда это печальный звоночек. Эдак мы скоро придем к антивирусам под линукс

Так они давно уже есть.

https://www.clamav.net
https://www.esetnod32.ru/business/products/efs_linux/
https://www.kaspersky.ru/small-to-medium...oint-linux
https://products.drweb.ru/fileserver/unix/

У последних трёх даже для десктопа варианты есть.

Есть != нужны.

(10.06.2022 08:Jun)Zhbert Написал: Есть != нужны.

Ну, ты не написал про "нужны" =)

(10.06.2022 08:Jun)Zhbert Написал: Есть != нужны

Вы не поверите... Но это давно весьма нужная штука. Ровно на столько же, насколько она нужна и под виндами... На самом деле, вредоносную активность можно и без антивируса обнаруживать, в т.ч. и под "форточками", но как ещё один слой защиты он никому никогда не мешал.