Symbiote - вредоносное ПО для Linux, которое почти не поддаётся обнаружению
Исследователи из компаний BlackBerry и Intezer рассказали о новом вредоносном ПО для Linux под названием Symbiote. Он представляет собой библиотеку .so, которая подгружается во все процессы с помощью LD_PRELOAD, и может подменять вызовы libc и скрывать свой сетевой трафик. Также он может перехватывать функции чтения файлов. 

Для установки вредоноса в систему атакующий должен иметь root доступ.

   

https://www.intezer.com/blog/research/ne...-symbiote/
https://blogs.blackberry.com/en/2022/06/...nux-threat
It's time to kick gum and chew ass. And i'm all out of ass.
Ответ
Цитата:Для установки вредоноса в систему атакующий должен иметь root доступ.

Ну то есть как всегда. Надо еще и скомпилять, наверное? :)
Ответ
(10.06.2022 07:Jun)Zhbert Написал:
Цитата:Для установки вредоноса в систему атакующий должен иметь root доступ.

Ну то есть как всегда. Надо еще и скомпилять, наверное? Smile

Так дело в том, что его очень трудно обнаружить, т.к. умеет подменять системные вызовы и скрывать своё присутствие в системе. В линуксах такого, как я понимаю, раньше не было.
It's time to kick gum and chew ass. And i'm all out of ass.
Ответ
(10.06.2022 07:Jun)ozz Написал:
(10.06.2022 07:Jun)Zhbert Написал:
Цитата:Для установки вредоноса в систему атакующий должен иметь root доступ.

Ну то есть как всегда. Надо еще и скомпилять, наверное? Smile

Так дело в том, что его очень трудно обнаружить, т.к. умеет подменять системные вызовы и скрывать своё присутствие в системе. В линуксах такого, как я понимаю, раньше не было.

Так а каким образом он попадает в систему?
Ответ
(10.06.2022 07:Jun)Zhbert Написал:
(10.06.2022 07:Jun)ozz Написал:
(10.06.2022 07:Jun)Zhbert Написал:
Цитата:Для установки вредоноса в систему атакующий должен иметь root доступ.

Ну то есть как всегда. Надо еще и скомпилять, наверное? Smile

Так дело в том, что его очень трудно обнаружить, т.к. умеет подменять системные вызовы и скрывать своё присутствие в системе. В линуксах такого, как я понимаю, раньше не было.

Так а каким образом он попадает в систему?

Любым, каким смогли получить рута.

Тут дело не в этом. Эта штука умеет скрывать активность других процессов. И если она сама по себе может не нанести вред, то скрытые ею другие вредоносные процессы могут.
It's time to kick gum and chew ass. And i'm all out of ass.
Ответ
(10.06.2022 07:Jun)ozz Написал:
(10.06.2022 07:Jun)Zhbert Написал:
(10.06.2022 07:Jun)ozz Написал:
(10.06.2022 07:Jun)Zhbert Написал:
Цитата:Для установки вредоноса в систему атакующий должен иметь root доступ.

Ну то есть как всегда. Надо еще и скомпилять, наверное? Smile

Так дело в том, что его очень трудно обнаружить, т.к. умеет подменять системные вызовы и скрывать своё присутствие в системе. В линуксах такого, как я понимаю, раньше не было.

Так а каким образом он попадает в систему?

Любым, каким смогли получить рута.

Тут дело не в этом. Эта штука умеет скрывать активность других процессов. И если она сама по себе может не нанести вред, то скрытые ею другие вредоносные процессы могут.

Хм, ну тогда это печальный звоночек. Эдак мы скоро придем к антивирусам под линукс Smile
Ответ
(10.06.2022 07:Jun)Zhbert Написал:
(10.06.2022 07:Jun)ozz Написал:
(10.06.2022 07:Jun)Zhbert Написал:
(10.06.2022 07:Jun)ozz Написал:
(10.06.2022 07:Jun)Zhbert Написал:
Цитата:Для установки вредоноса в систему атакующий должен иметь root доступ.

Ну то есть как всегда. Надо еще и скомпилять, наверное? Smile

Так дело в том, что его очень трудно обнаружить, т.к. умеет подменять системные вызовы и скрывать своё присутствие в системе. В линуксах такого, как я понимаю, раньше не было.

Так а каким образом он попадает в систему?

Любым, каким смогли получить рута.

Тут дело не в этом. Эта штука умеет скрывать активность других процессов. И если она сама по себе может не нанести вред, то скрытые ею другие вредоносные процессы могут.

Хм, ну тогда это печальный звоночек. Эдак мы скоро придем к антивирусам под линукс Smile

Так они давно уже есть.

https://www.clamav.net
https://www.esetnod32.ru/business/products/efs_linux/
https://www.kaspersky.ru/small-to-medium...oint-linux
https://products.drweb.ru/fileserver/unix/

У последних трёх даже для десктопа варианты есть.
It's time to kick gum and chew ass. And i'm all out of ass.
Ответ
(10.06.2022 08:Jun)Zhbert Написал: Есть != нужны.

Ну, ты не написал про "нужны" =)
It's time to kick gum and chew ass. And i'm all out of ass.
Ответ
(10.06.2022 08:Jun)Zhbert Написал: Есть != нужны
Вы не поверите... Но это давно весьма нужная штука. Ровно на столько же, насколько она нужна и под виндами... На самом деле, вредоносную активность можно и без антивируса обнаруживать, в т.ч. и под "форточками", но как ещё один слой защиты он никому никогда не мешал.
Ответ