Sommario
La nuova minaccia ruba i dati e può colpire tutti i processi in esecuzione sul sistema operativo, rubando informazioni da diversi comandi e utilità e memorizzandole poi sulla macchina colpita.
I ricercatori hanno scoperto che un subdolo malware per Linux sta facendo il backdooring dei dispositivi per rubare i dati e può colpire tutti i processi in esecuzione su una particolare macchina.
Il malware, denominato Orbit, è diverso da altre minacce per Linux in quanto ruba informazioni da diversi comandi e utility e poi le memorizza in file specifici sulla macchina, hanno scoperto i ricercatori della società di automazione della sicurezza Intezer. In effetti, il nome del malware deriva da uno dei nomi dei file in cui memorizza temporaneamente l’output dei comandi eseguiti.
Il malware si distingue da minacce simili per il suo “aggancio quasi ermetico” delle librerie sui computer presi di mira, che gli consente di ottenere la persistenza e di eludere il rilevamento, rubando allo stesso tempo informazioni e impostando una backdoor SSH, ha dichiarato.
“Il malware implementa tecniche di evasione avanzate e si insinua nel computer agganciando funzioni chiave, fornendo agli attori delle minacce capacità di accesso remoto tramite SSH, raccogliendo credenziali e registrando i comandi TTY“, ha scritto Fishbein nel post.
Inoltre, una volta installato, Orbit infetta tutti i processi in esecuzione sul computer, compresi quelli nuovi.
Distinguersi
In genere, le minacce Linux esistenti, come Symbiote e HiddenWasp, dirottano le librerie Linux condivise modificando la variabile d’ambiente LD_PRELOAD. Orbit funziona in modo diverso, tuttavia, utilizzando due modi diversi per caricare la libreria dannosa, ha scritto Fishbein.
“Il primo modo consiste nell’aggiungere l’oggetto condiviso al file di configurazione utilizzato dal caricatore“, ha spiegato nel post. “Il secondo modo consiste nel patchare il binario del caricatore stesso in modo che carichi l’oggetto condiviso dannoso“.
Nello specifico, Orbit utilizza stringhe crittografate XOR e ruba le password, tattiche simili ad altre backdoor Linux già segnalate dai ricercatori di ESET, ha scritto Fishbein.
Ma la somiglianza con il modo in cui queste backdoor dirottano le librerie finisce qui. Orbit si spinge oltre, non solo rubando informazioni da diversi comandi e utility, ma implementando “un uso estensivo dei file” per memorizzare i dati rubati, cosa che i ricercatori non hanno mai visto prima, ha scritto Fishbein.
Installazione ed esecuzione
Orbit si carica su un computer o un dispositivo Linux tramite un dropper che non solo installa il payload ma prepara anche l’ambiente per l’esecuzione del malware.
Per installare il payload e aggiungerlo alle librerie condivise che vengono caricate dal linker dinamico, il dropper chiama una funzione chiamata patch_ld e poi il link simbolico del linker dinamico /lib64/ld-linux-x86-64.so.2. Quest’ultimo viene fatto per verificare se il payload dannoso è già caricato cercando il percorso usato dal malware, hanno detto i ricercatori.
Se il payload viene trovato, la funzione può scambiarlo con l’altra posizione, hanno osservato. Altrimenti, il dropper cerca /etc/ld.so.preload e lo sostituisce con un collegamento simbolico alla posizione della libreria dannosa: /lib/libntpVnQE6mk/.l o /dev/shm/ldx/.l, a seconda dell’argomento passato al dropper.
Infine, il dropper aggiungerà /etc/ld.so.preload alla fine del file temporaneo per assicurarsi che la libreria dannosa venga caricata per prima, secondo i ricercatori.
Il payload stesso è un oggetto condiviso (file .SO) che può essere collocato in memoria persistente o in memoria shim. “Se viene posizionato nel primo percorso, il malware sarà persistente, altrimenti sarà volatile“, ha scritto Fishbein.
L’oggetto condiviso aggancia le funzioni di tre librerie: libc, libcap e Pluggable Authentication Module (PAM). Una volta fatto questo, i processi esistenti che utilizzano queste funzioni utilizzeranno essenzialmente le funzioni modificate e anche i nuovi processi saranno agganciati alla libreria dannosa, hanno scoperto i ricercatori.
Questo aggancio consente al malware di infettare l’intero computer e di raccogliere le credenziali, eludere il rilevamento, ottenere la persistenza e fornire accesso remoto agli aggressori, ha scritto Fishbein.
Tattiche di evasione
Orbit aggancia anche più funzioni come strategia per eludere il rilevamento, impedendo così di rilasciare informazioni che potrebbero rivelare l’esistenza della libreria condivisa dannosa nei processi in esecuzione o nei file utilizzati da Orbit, hanno osservato i ricercatori.
“Il malware utilizza un valore GID hardcoded (quello impostato dal dropper) per identificare i file e i processi correlati al malware e in base a questo manipola il comportamento delle funzioni agganciate“, ha scritto Fishbein. In Linux, un GID è un valore numerico utilizzato per rappresentare un gruppo specifico.
Come esempio di questa funzionalità, Orbit aggancia readdir – una funzione di Linux che restituisce un puntatore a una struttura dirent che descrive la voce di directory successiva nel flusso di directory associato a dirp – per verificare il GID del processo chiamante.
“Se non corrisponde al valore codificato, tutte le directory con il valore GID predefinito saranno omesse dall’output della funzione“, ha scritto Fishbein.
