Computerbeveiliging - Hoe je bad guys buiten de deur houdt

Onderzoekers ontdekken bijna niet te detecteren Symbiote malware voor Linux

13-06-2022, 08:29 door _R0N_, 8 reacties
Het hoofddoel van deze malware die de onderzoekers "Symbiote" noemen, is het buitmaken van inloggegevens en het verschaffen van toegang via een achterdeur tot de computer van een slachtoffer. Aangezien de malware zoveel manieren heeft om zichzelf te verbergen, waaronder rootkit-functionaliteit, kan het moeilijk zijn om een infectie te detecteren.

bron: https://dutchitchannel.nl/698940/onderzoekers-ontdekken-bijna-niet-te-detecteren-symbiote-malware-voor-linux.html
Reacties (8)
13-06-2022, 10:24 door Anoniem
Opstarten van DVD?

(en de traagheid en het gedoe van steeds een nieuwe DVD branden bij update(s) voor lief nemen?)
13-06-2022, 14:30 door _R0N_ - Bijgewerkt: 13-06-2022, 14:32
Het zit best slim in elkaar https://blogs.blackberry.com/en/2022/06/symbiote-a-new-nearly-impossible-to-detect-linux-threat

Conclusion
Symbiote is a malware that is highly evasive. Its main objective is to capture credentials and to facilitate backdoor access to infected machines. Since the malware operates as a userland level rootkit, detecting an infection may be difficult. Network telemetry can be used to detect anomalous DNS requests, and security tools such as antivirus and endpoint detection and response (EDR) should be statically linked to ensure they are not “infected” by userland rootkits.
15-06-2022, 13:42 door Anoniem
Bijna.......niet.. te.. detecteren......wow. Dus toch te detecteren.
NEXT.
15-06-2022, 22:47 door Anoniem
Door _R0N_: Het zit best slim in elkaar https://blogs.blackberry.com/en/2022/06/symbiote-a-new-nearly-impossible-to-detect-linux-threat

Conclusion
Symbiote is a malware that is highly evasive. Its main objective is to capture credentials and to facilitate backdoor access to infected machines. Since the malware operates as a userland level rootkit, detecting an infection may be difficult. Network telemetry can be used to detect anomalous DNS requests, and security tools such as antivirus and endpoint detection and response (EDR) should be statically linked to ensure they are not “infected” by userland rootkits.


Wat voor anomalous requests zijn dit precies? Wel handig om bii een waarschuwing een lijstje DNS hostnames of IPs te delen. Zijn er al snort rules voor?

Bedankt voor de tip
15-06-2022, 23:29 door Anoniem
Door Anoniem: Bijna.......niet.. te.. detecteren......wow. Dus toch te detecteren.
NEXT.

Het is een verschil als de 'standaard' detectie methoden 'm niet zien - niet iedere beheerder of organisatie is ingericht of aware en heeft dan de tools en de kennis om het wel te zien.
16-06-2022, 11:25 door _R0N_
Door Anoniem: Bijna.......niet.. te.. detecteren......wow. Dus toch te detecteren.
NEXT.

Kop in het zand dus.

Bijna niet te detecteren betekent bijvoorbeeld niet geautomatiseerd.
Er zijn geen hashes om te scannen.

etc..
16-06-2022, 23:09 door Anoniem
Een vrij uitgebreide malware analyse vindt men hier:
https://blogs.blackberry.com/en/2022/06/symbiote-a-new-nearly-impossible-to-detect-linux-threat
Er zijn voldoende Ioc's (indicators of compromise) te vinden ->
https://blog.malwarebytes.com/reports/2022/06/stealthy-symbiote-linux-malware-is-after-financial-institutions/
verwijst ook weer door naar de eerstgenoemde bovenstaande link.
Cisco-Talos heeft een snort rule ontwikkeld voor detectie van symbiote linux L-D-preload malware,
die ontwikkeld schijnt te zijn voornamelijk door cybercriminelen uit Latijns-Amerika. Harden your linux detection.
luntrus
17-06-2022, 12:18 door Anoniem
Door _R0N_:
Door Anoniem: Bijna.......niet.. te.. detecteren......wow. Dus toch te detecteren.
NEXT.

Kop in het zand dus.

Bijna niet te detecteren betekent bijvoorbeeld niet geautomatiseerd.
Er zijn geen hashes om te scannen.

etc..

Helaas om te melden: die techniek (morph maar een beetje) werkt prima op windows, zeker als het een gerichte aanval op personen is. Niet te detecteren en wordt ingezet door overheden.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.