Symbiote: Fortschrittliche neue Linux-Malware entdeckt

Stefan Beiersmann,
Linkedin
Malware (Bild: Shutterstock.com/Maksim Kabakou)

Sie kompromittiert alle laufenden Prozesse eines Linux-Systems. Symbiote nutzt zudem diverse Techniken, um sich zu verstecken. Als Folge können die Forscher nicht einmal abschätzen, wie aktiv die Malware eingesetzt wird.

Forscher von Blackberrys Threat Research and Intelligence Team haben in Zusasmmenarbeit mit Joakim Kennedy vom Sicherheitsanbieter Intezer eine neue Schadsoftware für Linux entdeckt. Aufgrund ihres parasitären Verhaltens wird sie als Symbiote bezeichnet. Eine weitere Besonderheit: Es ist nahezu unmöglich, die Malware aufzuspüren.

Erstmals stießen die Forscher vor einigen Monaten auf Symbiote. Die Malware unterscheidet sich in einem wichtigen Punkt von heute üblichen Schadprogrammen für Linux. Statt zu versuchen, einen laufenden Prozess zu kompromittieren, agiert Symbiote als Shared Object, das via LD_PRELOAD mit allen laufenden Prozessen geladen wird.

Den Forschern zufolge kompromittiert die Shared-Object-Bibliothek ein infiziertes System wie ein Parasit. Sobald es Symbiote gelungen sei, tief in ein System einzudringen, biete die Malware den Angreifern die Funktionen eines Rootkit.

Symbiote verbirgt den eigenen Datenverkehr im Netzwerk

Die ersten von Symbiote im November entdeckten Muster waren anscheinend auf Finanzinstitute in Südamerika ausgerichtet. Da sich die Malware aber einer Erkennung entzieht, sind sich die Forscher nicht sicher, ob sie ausschließlich für zielgerichtete Attacken oder gegen vielfältige Ziele eingesetzt wird – oder ob sie überhaupt noch aktiv ist.

Einer Erkennung entgeht Symbiote unter anderem durch die Nutzung einer als Berkeley Packet Filter (BPF) Hooking bezeichneten Technik. Sie wurde entwickelt, um schädlichen Datenverkehr auf einem infizierten System zu verbergen. Eingesetzt wird sie auch von Malware der Equation Group.

„Wenn ein Administrator ein beliebiges Paketaufzeichnungstool auf dem infizierten Computer startet, wird BPF-Bytecode in den Kernel injiziert, der definiert, welche Pakete aufgezeichnet werden sollen”, erklärte BlackBerry. “Bei diesem Prozess fügt Symbiote seinen Bytecode zuerst ein, um den Netzwerkverkehr herauszufiltern, den die Paketerfassungssoftware nicht sehen soll.“

Darüber hinaus richtet sich die Malware so unter Linux ein, dass sie vor anderen Shared Objects geladen wird. Das erlaubt es ihr, sich im System zu verbergen. Auch andere Dateien, die zu Symbiote gehören, werden im System versteckt. Außerdem werden die Netzwerkeinträge der Malware kontinuierlich gelöscht.

„Als wir die Muster von Symbiote zum ersten Mal mit Intezer Analyze analysierten, wurde nur einzigartiger Code entdeckt”, so die Forscher. “Da Symbiote und Ebury/Windigo oder andere bekannte Linux-Schadprogramme keinen gemeinsamen Code haben, können wir mit Sicherheit davon ausgehen, dass Symbiote eine neue, unentdeckte Linux-Malware ist.“