Non c’è pace per i ricercatori di sicurezza informatica, che scoprono ogni giorno nuove minacce. E’ il caso di un nuovo malware Linux, scoperto di recente. Il nuovo malware, chiamato OrBit, sottolinea una tendenza crescente, e preoccupante, di attacchi di malware orientati verso il popolare sistema operativo del pinguino.
Lo scopo del malware è il classico rubare informazioni dalle macchine Linux in cui è installato. Funziona in modo simile ad altri malware scoperti di recente come Symbionte o BPFdoor. Scoperto dai ricercatori di sicurezza di Intezer Labs, che lo hanno individuato per primi, questo malware si innesta direttamente negli eseguibili venendo caricato dinamicamente iniettandosi come libreria condivisa tramite la variabile d’ambiente LD_PRELOAD sui dispositivi compromessi, ottenendo così la possibilità di modificare le funzioni di altre librerie condivise che vengono caricate comunemente da tutti i processi Linux.
Non solo, OrBit è più insidioso di così. La catena di attacco inizia con un eseguibile ELF, chiamato “dropper”, che è responsabile dell’estrazione del payload libdl.so e dell’aggiunta di esso alle librerie condivise che vengono caricate dal linker dinamico. Inoltre, è in grado di modificare l’eseguibile del dynamic linker stesso in modo che carichi la suddetta libreria malevola.
La libreria condivisa è quindi progettata per funzionare come “hook” per funzioni classiche e standard di tre librerie in particolare: libc, libcap e Pluggable Authentication Module (PAM). Così facendo, sia i processi esistenti che nuovi utilizzerano le funzioni modificate, che fanno da wrapper alle originali, consentendo essenzialmente di raccogliere credenziali, nascondere l’attività di rete e dare accesso remoto all’host tramite SSH, rimanendo sempre sotto il radar.
Ad esempio, una volta inserito in un processo in esecuzione, OrBit può manipolare il suo output per nascondere qualsiasi traccia della sua esistenza filtrando ciò che viene registrato:
“Il malware implementa tecniche di evasione avanzate e guadagna persistenza sulla macchina agganciando le funzioni chiave, fornisce agli attori delle minacce funzionalità di accesso remoto su SSH, raccoglie le credenziali e registra i comandi TTY (…) Una volta installato, il malware infetterà tutti i processi in esecuzione, inclusi i nuovi processi, in esecuzione sulla macchina”.
OrBit non è il primo malware Linux, altamente evasivo, emerso di recente. Come già accennato inizialmente, Symbiote utilizza anche la variable d’ambiente LD_PRELOAD per caricarsi nei processi in esecuzione, agendo come un parassita a livello di sistema e senza lasciare segni di infezione.
Questo malware ruba informazioni da diversi comandi e utilità di sistema e le archivia in file specifici sulla macchina. Inoltre, c’è un ampio utilizzo di file per la memorizzazione dei dati, qualcosa che non si è mai stato visto prima. Ciò che rende questo malware particolarmente interessante è l’aggancio quasi ermetico delle librerie sul computer della vittima, che consente al malware di ottenere persistenza ed eludere il rilevamento mentre ruba informazioni e impostare backdoor basate su SSH”
BPFDoor, un altro malware individuato di recente che prende di mira i sistemi Linux, si mimetizza usando i nomi dei comuni demoni Linux. Basti pensare che questo lo ha aiutato a rimanere nascosto per più di cinque anni. L’obiettivo principale di entrambi resta agganciarsi alle funzioni relative a BPF (Berkeley Packet Filter) per monitorare e manipolare il traffico di rete, e gli permette in sostanza di nascondere del tutto i loro canali di comunicazione dagli strumenti di sicurezza.
Un terzo malware per Linux, un rootkit in forte sviluppo soprannominato Syslogk e svelato dai ricercatori Avast, sfrutta il caricamento di alcuni propri moduli nel kernel Linux, agendo quindi a livello kernel. Ciò gli permette di nascondere directory e il traffico di rete per eludere il rilevamento.