Ce qui se cache derrière Symbiote, ce nouveau malware Linux presque impossible à détecter

Ce qui se cache derrière Symbiote, ce nouveau malware Linux presque impossible à détecter


Un effort de recherche conjoint de différents chercheurs en cybersécurité a récemment conduit à la découverte de Symbiote, une nouvelle forme de malware Linux qui est « presque impossible » à détecter. En fin de semaine dernière, des chercheurs de l’équipe BlackBerry Threat Research & Intelligence, ainsi que Joakim Kennedy, chercheur en sécurité chez Intezer, ont publié un billet de blog sur le malware – surnommé Symbiote en raison de sa « nature parasitaire ».

Cette équipe de chercheurs a découvert Symbiote il y a plusieurs mois. Il diffère des logiciels malveillants typiques de Linux d’aujourd’hui, qui tentent normalement de compromettre les processus en cours d’exécution. Au contraire, il agit de son côté plutôt comme une bibliothèque d’objets partagés (SO) chargée sur tous les processus en cours d’exécution via LD_PRELOAD.

La bibliothèque d’objets partagés compromet « parasitairement » une machine cible, indiquent les chercheurs. Une fois que ses griffes sont profondément enfoncées dans le système, le malware fournit aux attaquants des fonctionnalités de rootkit. Le premier échantillon observé de ce malware date de novembre 2021 et semble avoir été développé pour cibler des institutions financières en Amérique latine. Reste que la nature inédite du malware empêche les chercheurs de savoir si celui-ci a été utilisé dans des attaques ciblées ou générales, si tant est qu’il l’ait été.

Un malware agressif et… furtif

Symbiote présente plusieurs caractéristiques intéressantes. Par exemple, le malware utilise le crochet Berkeley Packet Filter (BPF), une fonction conçue pour cacher le trafic malveillant sur une machine infectée. BPF est également utilisé par les logiciels malveillants développés par le groupe Equation. « Lorsqu’un administrateur lance un outil de capture de paquets sur la machine infectée, le bytecode BPF est injecté dans le noyau qui définit les paquets à capturer », explique BlackBerry. « Dans ce processus, Symbiote ajoute son bytecode en premier afin de pouvoir filtrer le trafic réseau qu’il ne veut pas que le logiciel de capture de paquets voit. »

L’un des éléments les plus impressionnants de ce malware Linux est sa furtivité. Préchargé avant d’autres objets partagés, il peut accrocher des fonctions spécifiques – notamment libc et libpcap – pour masquer sa présence.

D’autres fichiers associés à Symbiote sont également dissimulés et ses entrées réseau sont continuellement nettoyées.

Un nouveau malware

Symbiote est en outre capable de récolter des informations d’identification en s’accrochant à la fonction libc read et facilite l’accès à distance en s’accrochant aux fonctions Linux Pluggable Authentication Module (PAM).

Un échantillon du malware a été téléchargé sur la plateforme de Google VirusTotal, bien connue des experts en cybersécurité, sous le nom de certbotx64. L’équipe de chercheurs à l’origine de sa découverte soupçonne qu’étant donné que les soumissions ont été faites avant la mise en ligne de l’infrastructure principale du malware, les téléchargements pourraient avoir été effectués à des fins de test d’antivirus et de détection.

« Lorsque nous avons analysé les échantillons pour la première fois avec Intezer Analyze, seul un code unique a été détecté », expliquent-ils. « Comme aucun code n’est partagé entre Symbiote et Ebury/Windigo ou tout autre malware [Linux] connu, nous pouvons conclure en toute confiance que Symbiote est un nouveau malware Linux non découvert. »

Source : ZDNet.com





Source link

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.