Onderzoekers van Intezer en BlackBerry hebben een malware voor op Linux gebaseerde besturingssystemen ontdekt. De Symbiote-malware gedraagt zich als een parasiet en ontwijkt alle detectiemogelijkheden.

De malware voor Linux OS-omgevingen gedraagt zich als een parasiet door zich in de draaiende processen binnen het besturingssysteem te nestelen. Hierdoor kunnen hackers eenvoudig geheel automatisch inloggegevens aftappen en een backdoor instellen voor toegang tot de geïnfecteerde (virtuele) machine.

Besmetting

Juist de mogelijkheid van Symbiote zich in de draaiende processen binnen een Linux OS-omgeving te nestelen, maakt de malware uniek. Normaal zou een standalone executable bestand worden gebruikt voor het aanrichten van schade. De malware is eigenlijk een gedeelde object (SO) library die met behulp van LD_PRELOAD (T1574.006) in alle draaiende processen wordt geladen. Op deze manier worden machines besmet.

Eenmaal geïnstalleerd, is Symbiote in staat met verschillende mogelijkheden, waaronder rootkitfunctionaliteit, goed te verbergen en zo aan detectie te ontkomen.

BFP-functionaliteit verbergt netwerkverkeer

De onderzoekers van Intezer en BlackBerry ontdekten dat de Symbiote-malware zich niet alleen op het file system verbergt, maar ook binnen het hele netwerkverkeer. Voor deze laatste optie gebruikt de malware ‘Berkely Packet Filter (BPF) hooking’. Deze functionaliteit wordt geactiveerd wanneer beheerders op een geïnfecteerde machine welk packet capture tool dan ook starten. Op dit moment wordt BPF byteode geïnjecteerd in de kernel die bepaalt welke packets moeten worden ‘gepakt’. Tijdens dit proces voegt Symbiote eerst zijn bytecode toe, zodat netwerkverkeer dat voor de packet capture tool onzichtbaar moet blijven, wordt weggefilterd.

Doelwitten

Uit het onderzoek komt verder naar voren dat de Symbiote-malware begin dit jaar voor het eerst opdook. Vooral banken in Latijns-Amerika werden aangevallen. Met de aanvallen verkregen inloggegevens doen de hackers zich op dit moment voor als Braziliaanse banken en hebben waarschijnlijk diens klanten als doelwit.

De onderzoekers stellen dat Symbiote momenteel tot de meest geavanceerde hackmethoden behoort die zij hebben aangetroffen. Ze verwachten helaas wel dat dit soort zeer technische aanvallen de komende tijd flink zullen toenemen.