Neue Linux-Malware aufgespürt

Am Donnerstag veröffentlichten Forscher des BlackBerry Threat Research & Intelligence-Teams zusammen mit dem Intezer-Sicherheitsforscher Joakim Kennedy einen Blog-Beitrag über die Malware, die aufgrund ihres parasitären Charakters als „Symbiote“ bezeichnet wird.

Das Team entdeckte Symbiote vor einigen Monaten. Symbiote unterscheidet sich von der heute üblichen Linux-Malware, die normalerweise versucht, laufende Prozesse zu kompromittieren, und agiert stattdessen als gemeinsam genutzte Objektbibliothek (SO), die über LD_PRELOAD in alle laufenden Prozesse geladen wird.

„Die gemeinsam genutzte Objektbibliothek kompromittiert einen Zielcomputer parasitär“, so die Forscher, und sobald ihre Krallen tief im System verankert sind, bietet die Malware Angreifern Rootkit-Funktionalität.

Das erste Beispiel stammt aus dem November 2021 und wurde offenbar entwickelt, um Finanzinstitute in Lateinamerika anzugreifen. Da die Malware jedoch neu und sehr ausweichend ist, sind sich die Forscher nicht sicher, ob Symbiote bei gezielten oder breit angelegten Angriffen eingesetzt wird, wenn überhaupt.

Symbiote weist mehrere interessante Merkmale auf. So nutzt die Malware beispielsweise das Berkeley Packet Filter (BPF) Hooking, eine Funktion, die dazu dient, bösartigen Datenverkehr auf einem infizierten Computer zu verbergen. BPF wird auch von Malware verwendet, die von der Equation Group entwickelt wurde.

„Wenn ein Administrator ein beliebiges Packet-Capture-Tool auf dem infizierten Rechner startet, wird BPF-Bytecode in den Kernel injiziert, der definiert, welche Pakete erfasst werden sollen“, erklärt BlackBerry. „Bei diesem Prozess fügt Symbiote seinen Bytecode zuerst ein, um den Netzwerkverkehr herauszufiltern, den die Paketerfassungssoftware nicht sehen soll.“

Eines der beeindruckendsten Elemente der Linux-Malware ist ihre Heimlichkeit. Die Malware wird vor anderen gemeinsam genutzten Objekten geladen, so dass sie sich in bestimmte Funktionen einklinken kann – einschließlich libc und libpcap -, um ihre Präsenz zu verbergen. Andere mit Symbiote verknüpfte Dateien werden ebenfalls verborgen, und seine Netzwerkeinträge werden ständig gesäubert.

Darüber hinaus ist Symbiote in der Lage, Anmeldeinformationen zu sammeln, indem er sich in die Lesefunktion von libc einklinkt und den Fernzugriff erleichtert, indem er sich in die Funktionen des Linux Pluggable Authentication Module (PAM) einklinkt.

Die mit Symbiote verknüpften Domänennamen geben sich als große brasilianische Banken aus, und ein weiterer verknüpfter Server gibt sich als die brasilianische Bundespolizei aus.

Ein Beispiel für die Malware wurde unter dem Namen certbotx64 bei VirusTotal hochgeladen. Das Team vermutet, dass die Uploads zu Antiviren- und Erkennungstestzwecken erfolgten, bevor die Hauptinfrastruktur der Malware online ging.

„Als wir die Proben zum ersten Mal mit Intezer Analyze analysierten, wurde nur eindeutiger Code erkannt“, so die Forscher. „Da Symbiote und Ebury/Windigo oder andere bekannte [Linux-]Malware keinen gemeinsamen Code haben, können wir mit Sicherheit davon ausgehen, dass Symbiote eine neue, unentdeckte Linux-Malware ist.“