Computerbeveiliging
- Hoe je bad guys buiten de deur houdt
Onderzoekers ontdekken bijna niet te detecteren Symbiote malware voor Linux
Het hoofddoel van deze malware die de onderzoekers "Symbiote" noemen, is het buitmaken van inloggegevens en het verschaffen van toegang via een achterdeur tot de computer van een slachtoffer. Aangezien de malware zoveel manieren heeft om zichzelf te verbergen, waaronder rootkit-functionaliteit, kan het moeilijk zijn om een infectie te detecteren.
bron: https://dutchitchannel.nl/698940/onderzoekers-ontdekken-bijna-niet-te-detecteren-symbiote-malware-voor-linux.html
bron: https://dutchitchannel.nl/698940/onderzoekers-ontdekken-bijna-niet-te-detecteren-symbiote-malware-voor-linux.html
Reacties (8)
Opstarten van DVD?
(en de traagheid en het gedoe van steeds een nieuwe DVD branden bij update(s) voor lief nemen?)
(en de traagheid en het gedoe van steeds een nieuwe DVD branden bij update(s) voor lief nemen?)
Het zit best slim in elkaar https://blogs.blackberry.com/en/2022/06/symbiote-a-new-nearly-impossible-to-detect-linux-threat
Conclusion
Symbiote is a malware that is highly evasive. Its main objective is to capture credentials and to facilitate backdoor access to infected machines. Since the malware operates as a userland level rootkit, detecting an infection may be difficult. Network telemetry can be used to detect anomalous DNS requests, and security tools such as antivirus and endpoint detection and response (EDR) should be statically linked to ensure they are not “infected” by userland rootkits.
Conclusion
Symbiote is a malware that is highly evasive. Its main objective is to capture credentials and to facilitate backdoor access to infected machines. Since the malware operates as a userland level rootkit, detecting an infection may be difficult. Network telemetry can be used to detect anomalous DNS requests, and security tools such as antivirus and endpoint detection and response (EDR) should be statically linked to ensure they are not “infected” by userland rootkits.
Bijna.......niet.. te.. detecteren......wow. Dus toch te detecteren.
NEXT.
NEXT.
Door _R0N_: Het zit best slim in elkaar https://blogs.blackberry.com/en/2022/06/symbiote-a-new-nearly-impossible-to-detect-linux-threat
Conclusion
Symbiote is a malware that is highly evasive. Its main objective is to capture credentials and to facilitate backdoor access to infected machines. Since the malware operates as a userland level rootkit, detecting an infection may be difficult. Network telemetry can be used to detect anomalous DNS requests, and security tools such as antivirus and endpoint detection and response (EDR) should be statically linked to ensure they are not “infected” by userland rootkits.
Conclusion
Symbiote is a malware that is highly evasive. Its main objective is to capture credentials and to facilitate backdoor access to infected machines. Since the malware operates as a userland level rootkit, detecting an infection may be difficult. Network telemetry can be used to detect anomalous DNS requests, and security tools such as antivirus and endpoint detection and response (EDR) should be statically linked to ensure they are not “infected” by userland rootkits.
Wat voor anomalous requests zijn dit precies? Wel handig om bii een waarschuwing een lijstje DNS hostnames of IPs te delen. Zijn er al snort rules voor?
Bedankt voor de tip
Door Anoniem: Bijna.......niet.. te.. detecteren......wow. Dus toch te detecteren.
NEXT.
NEXT.
Het is een verschil als de 'standaard' detectie methoden 'm niet zien - niet iedere beheerder of organisatie is ingericht of aware en heeft dan de tools en de kennis om het wel te zien.
16-06-2022, 11:25 door
_R0N_
Door Anoniem: Bijna.......niet.. te.. detecteren......wow. Dus toch te detecteren.
NEXT.
NEXT.
Kop in het zand dus.
Bijna niet te detecteren betekent bijvoorbeeld niet geautomatiseerd.
Er zijn geen hashes om te scannen.
etc..
Een vrij uitgebreide malware analyse vindt men hier:
https://blogs.blackberry.com/en/2022/06/symbiote-a-new-nearly-impossible-to-detect-linux-threat
Er zijn voldoende Ioc's (indicators of compromise) te vinden ->
https://blog.malwarebytes.com/reports/2022/06/stealthy-symbiote-linux-malware-is-after-financial-institutions/
verwijst ook weer door naar de eerstgenoemde bovenstaande link.
Cisco-Talos heeft een snort rule ontwikkeld voor detectie van symbiote linux L-D-preload malware,
die ontwikkeld schijnt te zijn voornamelijk door cybercriminelen uit Latijns-Amerika. Harden your linux detection.
luntrus
https://blogs.blackberry.com/en/2022/06/symbiote-a-new-nearly-impossible-to-detect-linux-threat
Er zijn voldoende Ioc's (indicators of compromise) te vinden ->
https://blog.malwarebytes.com/reports/2022/06/stealthy-symbiote-linux-malware-is-after-financial-institutions/
verwijst ook weer door naar de eerstgenoemde bovenstaande link.
Cisco-Talos heeft een snort rule ontwikkeld voor detectie van symbiote linux L-D-preload malware,
die ontwikkeld schijnt te zijn voornamelijk door cybercriminelen uit Latijns-Amerika. Harden your linux detection.
luntrus
Door _R0N_:
Kop in het zand dus.
Bijna niet te detecteren betekent bijvoorbeeld niet geautomatiseerd.
Er zijn geen hashes om te scannen.
etc..
Door Anoniem: Bijna.......niet.. te.. detecteren......wow. Dus toch te detecteren.
NEXT.
NEXT.
Kop in het zand dus.
Bijna niet te detecteren betekent bijvoorbeeld niet geautomatiseerd.
Er zijn geen hashes om te scannen.
etc..
Helaas om te melden: die techniek (morph maar een beetje) werkt prima op windows, zeker als het een gerichte aanval op personen is. Niet te detecteren en wordt ingezet door overheden.
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
