Los investigadores desenterraron un descubrimiento que no ocurre tan a menudo en el ámbito del malware: una puerta trasera de Linux madura, nunca antes vista, que utiliza nuevas técnicas de evasión para ocultar su presencia en los servidores infectados, en algunos casos incluso con una investigación forense.
El jueves, investigadores de Intezer y The BlackBerry Threat Research & Intelligence Team dijeron que la puerta trasera no detectada anteriormente combina altos niveles de acceso con la capacidad de eliminar cualquier signo de infección del sistema de archivos, procesos del sistema y tráfico de red. Apodado Symbiote, apunta a instituciones financieras en Brasil y fue detectado por primera vez en noviembre.
Los investigadores de Intezer y BlackBerry escribieron:
Lo que diferencia a Symbiote de otros programas maliciosos de Linux que solemos encontrar es que tiene que infectar otros procesos en ejecución para infligir daños en las máquinas infectadas. En lugar de ser un ejecutable independiente que se ejecuta para infectar una máquina, es una biblioteca de objetos compartidos (SO) que se carga en todos los procesos en ejecución mediante LD_PRELOAD (T1574.006) e infecta la máquina de forma parasitaria. Una vez que ha infectado todos los procesos en ejecución, proporciona al actor de amenazas la funcionalidad de rootkit, la capacidad de recopilar credenciales y la capacidad de acceso remoto.
Con la ayuda de LD_PRELOAD, Symbiote se cargará antes que cualquier otro objeto compartido. Esto permite que el malware altere otros archivos de biblioteca cargados para una aplicación. La siguiente imagen muestra un resumen de todas las técnicas de evasión de malware.
BPF en la imagen se refiere al filtro de paquetes de Berkeley, que permite a las personas ocultar el tráfico de red malicioso en una máquina infectada.
“Cuando un administrador inicia una herramienta de captura de paquetes en la máquina infectada, el código de bytes BPF se inyecta en el kernel que define qué paquetes se capturarán”, escribieron los investigadores. “En este proceso, Symbiote primero agrega su código de bytes para que pueda filtrar el tráfico de red que no quiere que vea el software de captura de paquetes”.
Una de las técnicas sigilosas utilizadas por Symbiote se conoce como enlace de función libc. Pero el malware también utiliza el enganche en su función de herramienta de robo de datos. “La recopilación de credenciales se realiza conectando la función de lectura de libc”, escribieron los investigadores. “Si un proceso ssh o scp llama a la función, obtiene las credenciales”.
Hasta el momento, no hay evidencia de infecciones en la naturaleza, solo muestras de malware encontradas en línea. Es poco probable que este malware esté ampliamente activo en este momento, pero con un sigilo tan sólido, ¿cómo podemos estar seguros?