Symbiote, un Malware Linux hautement furtif

Symbiote, un Malware Linux hautement furtif

L’équipe de recherche d’Intezer et de Blackberry Research and Intelligence ont découvert un Malware parasite qu’ils ont baptisé Symbiote. Ce logiciel malveillant masque le trafic réseau malveillant sur un ordinateur infecté grâce à la technologie BPF. Ce qui en fait un Malware extrêmement furtif. 

Comment fonctionne Symbiote ?

Symbiote se distingue de la plupart des logiciels malveillants. Ce Malware Linux se présente en effet comme une bibliothèque d’objets partagée et non un fichier exécutable. Il infecte les processus en cours d’exécution à l’aide de  LD_PRELOAD  (T1574.006).

Symbiote infecte la machine comme un parasite et fournit à l’acteur malveillant une porte dérobée. Cela lui permet l’accès à distance à une machine avec à un mot de passe codé en dur. L’acteur malveillant pourra ainsi exécuter des commandes avec des privilèges plus élevés.

Le Malware fournit également des fonctionnalités rootkit à l’opérateur, lui offrant la possibilité de voler des informations d’identification. Ce Malware a été découvert en novembre 2021 par Joakim Kennedy, chercheur en sécurité chez Intezer, et l’équipe de Blackberry Research and Intelligence.

Symbiote, un Malware très furtif

Les chercheurs ont particulièrement souligné la fonctionnalité de raccordement du filtre de paquets Berkeley (BPF). Symbiose utilise ce dernier pour masquer le trafic réseau malveillant. Une technique inédite. 

Dans un rapport, les chercheurs expliquent : « Lorsqu’un administrateur démarre un outil de capture de paquets sur la machine infectée, le bytecode BPF est injecté dans le noyau qui définit les paquets à capturer. Dans ce processus, Symbiote ajoute d’abord son bytecode afin de pouvoir filtrer le trafic réseau qu’il ne veut pas que le logiciel de capture de paquets voit ».  

En raison de la nature hautement évasive du logiciel malveillant, il est particulièrement difficile de détecter les infections. Les attaques sont susceptibles de passer totalement inaperçues. Néanmoins, l’utilisation de la télémétrie réseau permettrait de repérer toute anomalie. Les experts recommandent également la détection et la réponse sur les terminaux.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.

Pin It on Pinterest