In der Pop-Kultur etwa in Comics verleiht ein Symbiont (Englisch: Symbiote) seinem Wirt oft übermenschliche Fähigkeiten – und sorgt gelegentlich auch für lustige, innere Monologe. Im realen Leben jedoch können parasitäre Symbionten einen Wirt bis an den Rand des Todes auslaugen, ohne dass dieser davon überhaupt etwas mitbekommt. Vor Kurzem haben Forscher vom Blackberry Research & Intelligence Team in Kooperation mit Intezer Labs eine neue Linux-Malware entdeckt, die wie ein Symbiont arbeitet und sich in laufenden Prozessen sowie im Netzwerkverkehr versteckt, sodass ein Angreifer die Ressourcen eines Opfers stehlen kann.
Das neue gemeinsame Forschungsprojekt von Intezer Labs und dem Blackberry Research & Intelligence Team befasst sich unter dem Titel „Symbiote Deep-Dive: Analysis of a New, Nearly-Impossible-to-Detect Linux Threat“ eingehend mit dieser Bedrohung.
Digitale Symbiose
Das Hauptziel der „Symbiote“ genannten Malware besteht darin, Anmeldeinformationen abzufangen und den Backdoor-Zugang zum Computer des Opfers zu erleichtern. Da die Malware viele Möglichkeiten – einschließlich Rootkit-Funktionalität – hat, sich zu verstecken, kann es schwierig sein, einen Befall zu erkennen.
Symbiote unterscheidet sich von anderer Linux-Malware dadurch, dass sie laufende Prozesse infiziert, anstatt eine eigenständig ausführbare Datei zu verwenden, um Schaden anzurichten. Hat sich die Bedrohung auf einem Rechner eingenistet, aktiviert sie die Rootkit-Funktionalität, um Anzeichen für ihre Anwesenheit zu verbergen.
Versteckt im Netzwerkverkehr
Symbiote versteckt nicht nur ihre Existenz im Dateisystem, sondern auch ihren Netzwerkverkehr, indem sie einen Berkeley-Packet-Filter (BPF) nutzt. Es ist nicht das erste Mal, dass diese Technik auf Linux-Rechnern zum Einsatz kommt – schon seit Jahren sind Hacking-Tools, die der Equation Group zugeschrieben werden und BPF für verdeckte Kommunikation nutzen, bekannt. Dies ist jedoch das erste Mal, dass diese Technik für finanziell motivierte Malware eingesetzt wird.
Dadurch kann die Malware, wenn sie sich erfolgreich eingeschleust hat, auswählen, welche Ergebnisse sie anzeigt. Wenn ein Administrator auf dem infizierten Computer eine Paketaufzeichnung startet, um verdächtigen Netzwerkverkehr zu untersuchen, klinkt sich Symbiote in den Prozess der Inspektionssoftware ein und filtert mithilfe von BPF-Hooking die Ergebnisse heraus, die ihre Aktivitäten aufdecken würden.
Finanzsektor im Fokus
Als die Symbiote-Entwickler 2021 mit der Entwicklung der Malware begannen, hatten sie es speziell auf den Finanzsektor in Lateinamerika abgesehen. Die von der Malware verwendeten Domänennamen deuten darauf hin, dass sich die Bedrohungsakteure als brasilianische Banken ausgeben, was darauf schließen lässt, dass diese Banken oder deren Kunden potenzielle Ziele sind.
Angesichts des Potenzials im Finanzwesen und der daraus resultierenden möglichen Beute ist es für die Angreifer sinnvoll, dass die Malware ihm die Möglichkeit bietet, aus der Ferne auf den Computer zuzugreifen. Die Angreifer können zudem automatisch Anmeldeinformationen auf dem Rechner des Opfers abgreifen.
Symbiote ist eine der neuesten und ausgefeiltesten Linux-Bedrohungen, die in letzter Zeit aufgetreten ist. Da Angreifer ihr Augenmerk zunehmend auf Cloud-Workloads und Server richten, ist mit einer Zunahme von Linux-Bedrohungen zu rechnen. Das BlackBerry Threat Research & Intelligence-Team wird diese Bedrohungen weiterhin identifizieren, analysieren und melden sowie zur Entwicklung von erforderlichen Gegenmaßnahmen beitragen, um die Auswirkungen einzudämmen.
Info: Der vollständige Bericht steht hier zur Verfügung.
Von Ismael Valenzuela, Blackberry Threat Research & Intelligence Team und Joakim Kennedy, Security Researcher, Intezer