0
0
Uma ameaça furtiva do Linux chamada Symbiote está visando instituições financeiras na América Latina, com todos os arquivos, processos e artefatos de rede escondidos pelo malware, tornando-o praticamente invisível para detecção por forense ao vivo.
O malware foi descoberto pela primeira vez em novembro, de acordo com uma postagem no blog da BlackBerry Research. O que diferencia o Symbiote de outros malwares Linux é sua abordagem para infectar processos em execução, em vez de usar um arquivo executável autônomo para causar danos.
Em seguida, coleta credenciais para fornecer acesso remoto ao ator de ameaça, exfiltrando credenciais e armazenando-as localmente.
“Ele funciona como um rootkit e esconde sua presença na máquina. Uma vez que ele infectou completamente a máquina, ele permite que você veja apenas o que ele quer que você veja”, explica Joakim Kennedy, pesquisador de segurança da Intezer e autor da postagem do blog BlackBerry. “Essencialmente, você não pode confiar no que a máquina está lhe dizendo.”
No entanto, ele pode ser detectado externamente, diz ele, já que exfiltra credenciais roubadas através das solicitações de DNS.
Kennedy diz que os nomes de domínio que o malware usa se fazem passar por grandes bancos no Brasil, o que também o ajuda a ficar sob o radar.
“Embora não pudéssemos dizer com base apenas no que encontramos, os atacantes que visam instituições financeiras são muitas vezes motivados por potenciais ganhos monetários”, diz ele.
Biblioteca de Objetos Compartilhados
Nicole Hoffman, analista sênior de inteligência contra ameaças cibernéticas da Digital Shadows, ressalta que, ao contrário da maioria das variantes de malware, o malware Symbiote é uma biblioteca de objetos compartilhados, em vez de um arquivo executável.
Symbiote usa a variável LD_PRELOAD que permite que ela seja pré-carregada por aplicativos antes de outras bibliotecas de objetos compartilhados.
“Esta é uma técnica sofisticada e evasiva que pode ajudar o malware a se misturar com processos e aplicativos em execução legítimos, que é uma das razões pelas quais o Symbiote é difícil de detectar”, diz ela.
O malware também possui a funcionalidade de conexão Berkeley Packet Filter (BPF). As ferramentas de captura de pacotes interceptam ou capturam o tráfego de rede normalmente para fins de uma investigação.
O BPF é uma ferramenta incorporada em vários sistemas operacionais Linux que permite aos usuários filtrar determinados pacotes, dependendo do tipo de investigação que estão realizando, o que pode reduzir os resultados gerais, facilitando a análise.
“O malware Symbiote foi projetado para essencialmente filtrar seu tráfego fora dos resultados da captura de pacotes”, explica Hoffman. “Esta é apenas mais uma camada de furtividade usada pelos atacantes para cobrir seus rastros e voar sob o radar.”
Kennedy acrescenta que esta é a primeira vez que a funcionalidade de gancho BPF é observada operando dessa maneira, e aponta que outras variantes de malware normalmente usaram o BPF para receber comandos de seu servidor de comando e controle.
“Em vez disso, esse malware usa esse método para ocultar a atividade da rede”, diz ele. “É uma medida ativa usada pelo malware para evitar ser detectado se alguém investigar a máquina infectada – como encobrir seus passos para que seja mais difícil de rastrear.”
Mais fácil de atacar?
Mike Parkin, engenheiro técnico sênior da Vulcan Cyber, diz que pode haver uma percepção por parte do atacante de que os alvos na América Latina têm uma infraestrutura de segurança menos madura e, portanto, seriam mais fáceis de atacar.
Ele explica que os atacantes se esforçaram para ocultar seu malware de qualquer coisa que esteja sendo executada no sistema infectado, aproveitando o BPF para ocultar seu tráfego de comunicações.
“Embora isso funcione no host local, outras ferramentas de monitoramento de rede serão capazes de identificar o tráfego hostil e a fonte infectada”, diz ele.
Ele explica que existem várias ferramentas de endpoint disponíveis que devem identificar mudanças em um sistema de vítimas.
“Há também técnicas forenses que podem usar o próprio comportamento do malware contra ele para revelar sua presença”, observa ele. “Os autores que criaram o Symbiote se esforçaram muito para esconder seu malware. Eles alavancaram uma combinação de técnicas, embora, ao fazê-lo, tenham fornecido alguns indicadores de compromisso que os defensores poderiam usar para identificar uma infecção no local.”
Kennedy diz que a ação mais importante é se concentrar nas técnicas usadas por esse malware para garantir que você possa detectar e/ou proteger contra elas, quer você esteja protegendo contra Symbionte ou outro ataque que use a mesma técnica.
“Eu diria que o Symbiote, e outros malwares Linux não detectados recentemente descobertos, mostram que outros sistemas operacionais além do Windows não são imunes a malware altamente evasivo”, diz ele. “Como não recebe tanta atenção quanto o malware do Windows, não sabemos o que mais está por aí que ainda não foi descoberto.”
FONTE: DARK READING