Versteckt im Netzwerk

Unbekannte Linux-Malware stiehlt Logins

Unter dem Namen Symbiote verbreitet sich eine neue Malware im Linux-Betriebssystem. Im Netzwerk versteckt ist sie kaum zu erkennen.
Von 
CSO | 13. Juni 2022 15:38 Uhr
Die Malware Symbiote versteckt nicht nur sich selbst und ihren Netzwerkverkehr. Sie verbirgt auch weitere Tools, um Anmeldeinformationen zu stehlen.
Die Malware Symbiote versteckt nicht nur sich selbst und ihren Netzwerkverkehr. Sie verbirgt auch weitere Tools, um Anmeldeinformationen zu stehlen.
Foto: Sarah Holmlund - shutterstock.com

Sicherheitsforscher der Unternehmen Blackberry und Intezer sind auf eine Linux-Hintertür gestoßen, durch die Cyberangreifer Malware auf kompromittierte Server schleusen, um Anmeldeinformationen zu stehlen. Die Bedrohung wird als Symbiote bezeichnet, weil sie sich in bestehende Prozesse einmischt anstatt selbst ausführbare Dateien zu verwenden. Etwa seit November 2021 befindet die Malware sich in der Entwicklung und scheint bereits gegen den Finanzsektor in Lateinamerika eingesetzt worden zu sein.

So macht sich Symbiote unsichtbar

"Symbiote ist eine Malware, die sehr ausweichend ist", so die Analysten in ihrem Bericht. Da die Malware als Rootkit auf Userland-Ebene fungiert, ist es schwierig eine Infektion zu erkennen. Die Malware wird als gemeinsam genutztes Objekt (.so-Datei) bereitgestellt, das von Programmen bei der Ausführung geladen wird.

Die Cyberangreifer legen die Umgebungsvariable "LD-PRELOAD" fest, um die bösartige Bibliothek in alle laufenden Prozesse zu laden. Diese Variable diktiert dem "Linker", einem Computerprogramm, das einzelne Module zu einem ausführbaren Programm zusammenstellt, die .so-Datei vor jeder anderen legitimen Bibliothek zu laden.

Um zu verhindern, dass Symbiote erkannt wird, zum Beispiel in der Ausgabe des ldd-Befehls, welcher die Abhängigkeiten eines laufenden Prozesses auflistet, fängt die Malware Aufrufe dieses Befehls ab. Dafür bindet sie die Funktion "execve" ein und entfernt sich damit selbst aus der Ausgabe.

Symbiote kann nicht nur sich selbst verstecken. Sie wurde auch entwickelt, um andere Malware-Programme zu verbergen. Die Sicherheitsforscher fanden heraus, dass die Malware die folgenden Einträge aus der Ausgabe entfernt, wenn eine Anwendung versucht auf laufende Prozesse zuzugreifen:

  • certbotx64

  • certbotx86

  • javautils

  • javaserverx6

  • javaclientex64

  • javanodex8

Die Malware ist nicht nur in der Lage, ihre Anwesenheit im Dateisystem zu verbergen. Sie kann auch ihren Netzwerkverkehr verschleiern, indem sie die Hooking-Funktionalität des Berkeley Packt Filter (BPF) nutzt.

So funktioniert die Technik: Startet ein Administrator die Paketaufzeichnung auf dem infizierten Computer, um den Netzwerkverkehr zu untersuchen, schleust Symbiote ihren Bytecode ein. Damit kann die Malware die Pakete herausfiltern, die der Admin nicht sehen soll.

Lesetipp: Linux-Malware auf dem Vormarsch

Warnung vor Symbiote

Zwar entdeckten die Forscher einige Ähnlichkeiten zwischen Symbiote und einer älteren Linux-Malware namens Ebury oder Windigo. Allerdings gibt es jedoch sehr wenig gemeinsamen Code zwischen den beiden, was darauf hindeutet, dass Symbiote eine völlig neue Malware-Bedrohung ist, die bisher nicht entdeckt wurde. Die untersuchten Stichproben schienen auf lateinamerikanische Finanzinstitute abzuzielen. Das bedeutet jedoch nicht, dass sich die Gruppe nur auf diese Branche oder Region konzentriert.

Der Bericht enthält mehrere Kompromittierungsindikatoren, die anzeigen, ob die Malware auf Systemen vorhanden ist, einschließlich Dateinamen und Hashes, Domänennamen und Portnummern für Netzwerkaktivitäten, die die Malware zu verbergen versucht.

Des Weiteren empfehlen Blackberry und Intezer Unternehmen ihre Netzwerktelemetrie zu verwenden, um anomal DNS-Anfragen zu erkennen. Außerdem sollten sie Sicherheitstools wie Antivirus und Endpoint Detection and Response statisch verknüpfen, um sicherzustellen, dass sie nicht von Userland-Rootkits infiziert werden. (ms)

Dieser Beitrag basiert auf einem Artikel unserer US-Schwesterpublikation CSO Online.

Lucian Constantin arbeitet als Korrespondent für den IDG News Service.