Nuevo malware en Linux difícil de detectar conocido como Symbiote

Se ha reportado un nuevo malware en Linux llamado Symbiote, que permitiría a un atacante obtener la funcionalidad de rootkit, robo de credenciales y ejecución remota de código (RCE).

nvestigadores han reportado recientemente un nuevo malware llamado Symbiote, el cual infecta todos los procesos en ejecución de los sistemas comprometidos, roba las credenciales de las cuentas y brinda a sus operadores acceso a través de puertas traseras.

En lugar de tener la forma típica de un ejecutable, Symbiote es una biblioteca de objetos compartidos que se carga en procesos en ejecución mediante la directiva LD_PRELOAD para obtener prioridad frente a otros objetos compartidos.

Al ser el primero en cargarse, Symbiote puede conectar las funciones «libc» y «libpcap» y realizar varias acciones para ocultar su presencia, como ocultar procesos, archivos implementados, entre otros.

Symbiote oculta su presencia en la máquina utilizando las funciones “libc” y “libpcap”, como se observa a continuación:

Symbiote también brinda a sus operadores acceso SHH remoto a la máquina a través del servicio PAM, mientras que proporciona una forma para que el actor de amenazas obtenga privilegios de root en el sistema.

Si bien, Symbiote es un malware de detección compleja, el monitoreo constante de red (Network telemetry) puede ser utilizado para detectar solicitudes de DNS anómalas y las herramientas de seguridad como antivirus y endpoints (EDR) pueden ser vinculados estáticamente para garantizar la seguridad.

Symbiote está diseñado para permitir ocultar la presencia de cualquier otro malware que los atacantes pudieran desear usar en combinación con éste. Así, borra también de la salida de ‘ldd’ referencias a ‘certbotx64’, ‘certbotx86’, ‘javautils’, ‘javaserverx64’, ‘javaclientex64’ y ‘javanodex8’.

Nota: Se estará realizando un seguimiento a las actualizaciones que se vayan publicando acerca de este malware.

Referencias: