OrBit: um novo malware para Linux que preocupa pesquisadores de segurança
Não há paz para os pesquisadores de segurança cibernética, que descobrem novas ameaças todos os dias. Este é o caso de um malware Linux recém-descoberto. O novo malware, chamado OrBit, ressalta uma tendência crescente e preocupante de ataques de malware direcionados ao popular sistema operacional pinguim .
OrBit: malware Linux que preocupa pesquisadores
O objetivo do malware é o clássico roubo de informações das máquinas Linux em que está instalado . Funciona de forma semelhante a outros malwares descobertos recentemente, como Symbionte ou BPFdoor . Descoberto pelos pesquisadores de segurança da Intezer Labs, que o identificaram primeiro, esse malware se insere diretamente nos executáveis ao ser carregado dinamicamente, injetando-se como uma biblioteca compartilhada através da variável de ambiente LD_PRELOAD nos dispositivos comprometidos, obtendo assim a possibilidade de modificar as funções de outras bibliotecas compartilhadas que são normalmente carregadas por todos os processos Linux.
Não só isso, OrBit é mais insidioso do que isso. A cadeia de ataque começa com um executável ELF, chamado de “dropper” , que é responsável por extrair a carga útil libdl.so e adicioná-la às bibliotecas compartilhadas que são carregadas pelo vinculador dinâmico. Além disso, é capaz de modificar o próprio executável do vinculador dinâmico para carregar a biblioteca maliciosa mencionada anteriormente .
A biblioteca compartilhada é, portanto, projetada para funcionar como um “gancho” para funções clássicas e padrão de três bibliotecas em particular: libc, libcap e Pluggable Authentication Module (PAM). Ao fazer isso, tanto os processos existentes quanto os novos usarão as funções modificadas, que envolvem os originais, permitindo essencialmente coletar credenciais, ocultar a atividade da rede e dar acesso remoto ao host via SSH, sempre permanecendo sob o radar.
Por exemplo, uma vez inserido em um processo em execução, o OrBit pode manipular sua saída para ocultar qualquer vestígio de sua existência filtrando o que está sendo registrado :
"O malware implementa técnicas avançadas de evasão e ganha persistência na máquina ao conectar funções-chave, fornece aos agentes de ameaças recursos de acesso remoto por SSH, coleta credenciais e registra comandos TTY (…) Uma vez instalado, o malware infectará todos os processos em execução , incluindo novos processos, em execução na máquina”.
OrBit não é o primeiro malware Linux altamente evasivo a surgir recentemente . Como já mencionado inicialmente, o Symbiote também usa a variável de ambiente LD_PRELOAD para se carregar em processos em execução, agindo como um parasita em todo o sistema e não deixando sinais de infecção.
Esse malware rouba informações de vários comandos e utilitários do sistema e as armazena em arquivos específicos na máquina. Além disso, há uso extensivo de arquivos para armazenamento de dados, algo nunca visto antes. O que torna esse malware particularmente interessante é o encaixe quase hermético de bibliotecas no computador da vítima, que permite que o malware ganhe persistência e evite a detecção enquanto rouba informações e configura backdoors baseados em SSH "
O BPFDoor, outro malware detectado recentemente visando sistemas Linux, camufla-se usando os nomes de daemons comuns do Linux. Basta dizer que isso o ajudou a ficar escondido por mais de cinco anos. O foco principal de ambos continua sendo a conexão com as funções relacionadas ao BPF (Berkeley Packet Filter) para monitorar e manipular o tráfego de rede e, essencialmente, permite que eles ocultem completamente seus canais de comunicação das ferramentas de segurança.
Um terceiro malware para Linux, um rootkit em forte desenvolvimento apelidado de Syslogk e revelado pelos pesquisadores da Avast, explora o carregamento de alguns de seus próprios módulos no kernel do Linux , agindo assim no nível do kernel. Isso permite ocultar diretórios e tráfego de rede para evitar a detecção.
O artigo OrBit: um novo malware do Linux relacionado aos pesquisadores de segurança foi escrito em: Tech CuE | Engenharia de close-up .