Недавно обнаруженная вредоносная программа для Linux используется для незаметной кражи информации из защищенных систем Linux и заражения всех запущенных процессов на машине.
Названная OrBit исследователями безопасности из Intezer Labs, которые первыми ее обнаружили, эта вредоносная программа перехватывает общие библиотеки для перехвата вызовов функций путем изменения переменной окружения LD_PRELOAD на взломанных устройствах.
Хотя он может сохраняться с помощью двух различных методов, блокирующих попытки удаления, OrBit также может быть развернут как летучий имплант при копировании в shim-память.
Он также может подключать различные функции, чтобы избежать обнаружения, контролировать поведение процессов, сохранять устойчивость, заражая новые процессы, и скрывать сетевую активность, которая могла бы выявить его присутствие.
Например, внедрившись в запущенный процесс, OrBit может манипулировать его выходом, чтобы скрыть любые следы своего существования, отфильтровывая то, что попадает в журнал.
“Вредоносная программа использует передовые методы уклонения и сохраняется на машине, подключая ключевые функции, предоставляет субъектам угрозы возможности удаленного доступа по SSH, собирает учетные данные и регистрирует команды TTY”, – пояснила исследователь безопасности Intezer Labs Николь Фишбейн.
“После установки вредоносная программа заражает все запущенные процессы, включая новые, которые запущены на машине”.
Хотя компоненты дроппера и полезной нагрузки OrBit были совершенно не обнаружены антивирусными системами, когда вредоносная программа была впервые замечена, некоторые производители антивирусного ПО с тех пор обновили свои продукты, чтобы предупредить клиентов о ее присутствии.
Всплеск вредоносного ПО для Linux?
OrBit – не первая вредоносная программа для Linux, появившаяся в последнее время и способная использовать аналогичные подходы для полной компрометации и бэкдора устройств.
Symbiote также использует директиву LD_PRELOAD для загрузки себя в запущенные процессы, действуя как общесистемный паразит и не оставляя следов заражения.
BPFDoor, еще одна недавно замеченная вредоносная программа, нацеленная на системы Linux, маскируется, используя имена обычных демонов Linux, что помогло ей оставаться незамеченной более пяти лет.
Оба этих штамма используют функцию BPF (Berkeley Packet Filter) для мониторинга и манипулирования сетевым трафиком, что помогает скрыть их каналы связи от средств безопасности.
Третья вредоносная программа для Linux, руткит в стадии активной разработки, получивший название Syslogk и представленный исследователями Avast в прошлом месяце, может принудительно загружать свои собственные модули в ядро Linux, делать бэкдор на скомпрометированных машинах, скрывать каталоги и сетевой трафик, чтобы избежать обнаружения.
Несмотря на то, что OrBit не является первым или самым оригинальным штаммом вредоносного ПО, нацеленным на Linux в последнее время, он все же имеет свои возможности, которые отличают его от других угроз.
“Эта вредоносная программа крадет информацию из различных команд и утилит и сохраняет ее в определенных файлах на машине. Кроме того, для хранения данных широко используются файлы, чего раньше не наблюдалось”, – добавил Фишбейн.
“Что делает эту вредоносную программу особенно интересной, так это почти герметичное подключение библиотек на машине жертвы, что позволяет ей сохранять стойкость и ускользать от обнаружения, одновременно похищая информацию и устанавливая SSH-бэкдор”.
А реально, если немного подумать вас официальный дилер Haval в Санкт-Петербурге интересует? Мне просто кажется это достаточно важная и интересная информация. Заходите не стесняйтесь. Вам обязательно нужно на это посмотреть.