Истраживачи упозоравају на нови OrBit Линукс малвере који отима ток извршавања

Baby Yoda

Contributor
Poruka
21.778
linux-malware.jpg


Istraživači sajber bezbednosti su otkrili novu i potpuno neotkrivenu Linuks pretnju nazvanu OrBit, što signalizira rastući trend napada malvera usmerenih na popularni operativni sistem.

Malvere je dobio ime po jednom od imena datoteka koje se koriste za privremeno skladištenje izlaza izvršenih komandi („/tmp/.orbit“), prema kompaniji za sajber bezbednost Intezer.

„Može se instalirati ili sa mogućnostima postojanosti ili kao isparljivi implant,“ rekla je istraživačica bezbednosti Nicole Fishbein. „Zlonamerni softver implementira napredne tehnike izbegavanja i postiže postojanost na mašini tako što povezuje ključne funkcije, pruža akterima pretnji mogućnost daljinskog pristupa preko SSH-a, prikuplja akreditive i beleži TTI komande.“

OrBit je četvrti Linuk malver koji je izašao na videlo u kratkom periodu od tri meseca nakon BPFDoor-a, Simbiote-a i Sislogk-a.

Zlonamerni softver takođe funkcioniše kao Simbiote jer je dizajniran da zarazi sve pokrenute procese na kompromitovanim mašinama. Ali za razliku od poslednjeg koji koristi promenljivu okruženja LD_PRELOAD za učitavanje deljenog objekta, OrBit koristi dve različite metode.

„Prvi način je dodavanjem deljenog objekta u konfiguracionu datoteku koju koristi učitavač“, objasnio je Fishbein. „Drugi način je zakrpanje binarne datoteke samog učitavača tako da će učitati maliciozni zajednički objekat.“

Lanac napada počinje sa ELF dropper fajlom koji je odgovoran za izdvajanje korisnog opterećenja („libdl.so“) i njegovo dodavanje u deljene biblioteke koje se učitavaju pomoću dinamičkog povezivača.

Lažna deljena biblioteka je projektovana da poveže funkcije iz tri biblioteke — libc, libcap i Pluggable Authentication Module (PAM) — što dovodi do toga da postojeći i novi procesi koriste modifikovane funkcije, u suštini dozvoljavajući joj da prikupi akreditive, sakrije mrežnu aktivnost i podesi udaljeni pristup hostu preko SSH-a, sve dok ostaje ispod radara.

Štaviše, OrBit se oslanja na niz metoda koje mu omogućavaju da funkcioniše bez upozoravanja na svoje prisustvo i uspostavlja postojanost na način koji otežava uklanjanje sa zaraženih mašina.

Kada se jednom aktivira, krajnji cilj backdoor-a je da ukrade informacije spajanjem funkcija čitanja i pisanja kako bi uhvatili podatke koje zapisuju izvršeni procesi na mašini, uključujući bash i sh komande, čiji se rezultati čuvaju u određenim datotekama.

„Ono što ovaj malver čini posebno zanimljivim je skoro hermetičko spajanje biblioteka na mašinu žrtve, što omogućava malveru da dobije upornost i izbegne otkrivanje dok krade informacije i postavlja SSH backdoor“, rekao je Fišbejn.

„Pretnje koje ciljaju na Linuk nastavljaju da se razvijaju dok uspešno ostaju ispod radara bezbednosnih alata, sada je OrBit još jedan primer koliko novi zlonamerni softver može biti izbegavan i uporan.“

Izvor: https://thehackernews.com/2022/07/researchers-warn-of-new-orbit-linux.html

Korisnici Linuxa, šta vi mislite o ovome? :D
 
Da biste mogli da kreirate nove teme, trajno koristite svoje ime i ne pogađate stalno slike - kliknite ovde da se registrujete.

Top
  Blokirali ste reklame
Dragi prijatelju, nemojte da blokirate reklame - isključite Ad Blocker na Forumu, jer će tako mesto vaših susreta na Krstarici ostati besplatno za korišćenje.