Symbiote:ラテンアメリカの金融セクターを標的とするステルスLinuxマルウェア from thehackernews.com
security summary
サイバーセキュリティの研究者たちは、バックドアに感染したシステムに悪用される可能性のある「検出不可能に近い」Linuxマルウェアと呼ばれるものを取り除いた。
「Symbioteが他のLinuxマルウェアと異なる点は、スタンドアロンの実行可能ファイルを使用して損害を与えるのではなく、実行中のプロセスに感染することです。」
これは、LDPRELOAD(Pro-OceanやFacefishなどのマルウェアで以前使用されていた方法)と呼ばれるネイティブLinux機能を利用して、動的リンカーによって実行中のすべてのプロセスにロードされ、ホストに感染することで実現されます。
実行中のすべてのプロセスを乗っ取ると、Symbioteはルートキット機能を有効にして、その存在の証拠をさらに隠し、攻撃者がマシンにログインして特権コマンドを実行するためのバックドアを提供します。
「マルウェアはユーザーランドレベルのルートキットとして機能するため、感染の検出は難しい可能性があります」と研究者らは結論付けました。
コメント