Na biologia, um simbionte é um organismo que vive em simbiose com outro organismo. Às vezes, as simbioses podem ser benéficas para ambos os seres, mas, em muitos casos, ela pode ser parasitária, quando somente um é beneficiado e o outro é prejudicado.
Alguns meses atrás, a BlackBerry descobriu uma nova ameaça que age exatamente com essa mesma natureza parasitária e afeta sistemas Linux, por isso, ele foi nomeado Symbiote.
O que o torna diferente de outros malwares que afetam o Linux que geralmente é visto por aí, é que ele precisa infectar outro processo em funcionamento para infligir dano nas máquinas infectadas.
Ao invés de agir sozinho como um arquivo executável, ele é uma biblioteca de objeto compartilhado (Shared Object – SO), que é carregada em todos os processos ativos usando LD_PRELOAD (T1574.006), e parasitariamente infesta a máquina. Uma vez que ela infectou todos os processos, ela fornece ao agente da ameaça a funcionalidade de rootkit, que é a capacidade de coletar credenciais, sem contar recursos de acesso remoto.
O nascimento do Symbiote
A detecção mais antiga do Symbiote é de novembro de 2021. Ele aparentemente parece ter sido desenvolvido tendo como alvo o setor financeiro da América Latina.
Uma vez que ele infecta a máquina, o Symbiote esconde a si próprio e quaisquer outros malwares usados pelo autor do ataque, tornando essa infecção muito difícil de se detectar. A execução de perícias ao vivo em uma máquina pode não revelar nada, pois todos os arquivos, processos e artefatos de rede ficam ocultos.
Além da capacidade de rootkit, o malware também fornece um backdoor para o cibercriminoso realizar log-in como qualquer usuário na máquina, com uma senha codificada, permitindo que ele execute comandos com os mais altos privilégios.
Na pesquisa da BlackBerry, não foram encontradas evidências suficientes que pudessem determinar se o Symbiote está sendo utilizado em ataques altamente direcionados ou amplos.
Um aspecto técnico interessante sobre ele é o uso da sua funcionalidade de gancho Berkeley Packet Filter (BPF). Ele não é o primeiro a utilizar o BPF para atacar sistemas Linux. Por exemplo, um backdoor avançado atribuído ao Equation Group, tem usado essa funcionalidade para comunicação secreta. Contudo, o Symbiote utiliza o BPF para esconder tráfego malicioso na rede de uma máquina infectada.
Quando um administrador inicia qualquer ferramenta de captura de pacotes na máquina infectada, o bytecode BPF é injetado no kernel que define quais pacotes devem ser capturados. Nesse processo, o Symbiote adiciona esse bytecode primeira para que possa filtrar o tráfego que ele não quer que seja visto, para fora da rede.
Técnicas de evasão
O Symbiote é bastante sorrateiro. Ele foi projetado para ser carregado pelo vinculador por meio da diretriz LD_PRELOAD. Isso permite que ela seja carregada antes de qualquer outro objeto compartilhado. Como ele é carregado primeiro, ele pode sequestrar as importações para outra biblioteca de arquivos carregadas para a aplicação.
É isso que ele usa para esconder sua presença na máquina, conectando as funções libc e libpcap.
O objetivo do Symbiote
O objetivo desse malware, além de esconder a atividade maliciosa na máquina, é colher credenciais para fornecer acesso remoto para o cibercriminoso. A coleta das credenciais são performadas pela função de hooking libc read. Se um processo ssh ou scp, está chamando a função, ele captura as credenciais.
As credenciais primeiramente são criptografadas com RC4 usando uma chave anexada, e então são escritas em um arquivo. Por exemplo, uma das versões do malware escreve as credenciais capturadas para o arquivo /usr/include/certbot.h.
Além de guardar as credenciais localmente, elas também são exportadas. Os dados são codificados em hexadecimal e fragmentados para serem exportados por meio de solicitações de registro de endereço DNS (A), para um nome de domínio controlado pelo agente da ameaça.
Similaridades com outros malwares
O Symbiote parece ter sido desenvolvido tanto para roubar credenciais quanto para fornecer acesso remoto a servidores Linux infectados. O Symbiote não é o primeiro malware desenvolvido tendo como meta o Linux. Em 2014, foi lançada uma análise do Ebury, um OpenSSH para backdoor que também efetuava roubo de credenciais.
Há algumas similaridades nas técnicas usadas por ambas as famílias. Ambos utilizam de funções Hook para capturar credenciais e exportá-las como solicitações DNS. De toda forma, o método de autenticação usado para o backdoor são diferentes. Ao analisar os códigos compartilhados das duas ameaças, a Blackberry afirma confiantemente que o Symbiote é totalmente novo.
Conclusão
O Symbiote é um malware muito evasivo. Seu principal objetivo é o roubo de credenciais e o facilitamento de acesso backdoor às máquinas infectadas. Como o malware opera como um rootkit de nível de usuário, detectá-lo pode ser uma tarefa muito difícil.
Telemetria de rede pode ser usada para detectar solicitações DNS anormais e ferramentas de segurança, como antivírus e detecção e resposta de endpoints (EDR), devem ser estaticamente ligadas para garantir que eles não estão infectados por rootkits de usuários.
E se seus clientes precisam se proteger contra esse tipo de ameaça, a melhor maneira é contar com a assistência BlackBerry e com suas soluções, que protegem infraestruturas desde o nível de usuário, até as camadas mais profundas da infraestrutura.
Clique aqui para saber mais sobre a BlackBerry e fale diretamente com a M3Corp para conhecer mais sobre as soluções disponíveis para adição ao seu portfólio.
Posts recentes