Peneliti keamanan siber telah mengungkap ancaman Linux baru dan sama sekali tidak terdeteksi yang dijuluki Orbitmenandakan tren serangan malware yang berkembang yang diarahkan ke sistem operasi populer.
Malware mendapatkan namanya dari salah satu nama file yang digunakan untuk menyimpan sementara output dari perintah yang dieksekusi (“/tmp/.orbit”), menurut perusahaan keamanan siber Intezer.
“Ini dapat dipasang baik dengan kemampuan bertahan atau sebagai implan yang mudah menguap,” kata peneliti keamanan Nicole Fishbein. “Malware menerapkan teknik penghindaran tingkat lanjut dan mendapatkan kegigihan pada mesin dengan mengaitkan fungsi-fungsi utama, memberikan kemampuan akses jarak jauh kepada pelaku ancaman melalui SSH, mengumpulkan kredensial, dan mencatat perintah TTY.”
OrBit adalah malware Linux keempat yang terungkap dalam kurun waktu tiga bulan setelah BPFDoor, Symbiote, dan Syslogk.
Malware ini juga berfungsi sangat mirip dengan Symbiote karena dirancang untuk menginfeksi semua proses yang berjalan pada mesin yang disusupi. Tapi tidak seperti yang terakhir yang memanfaatkan variabel lingkungan LD_PRELOAD untuk memuat objek bersama, OrBit menggunakan dua metode yang berbeda.
“Cara pertama adalah dengan menambahkan objek bersama ke file konfigurasi yang digunakan oleh loader,” jelas Fishbein. “Cara kedua adalah dengan menambal biner dari loader itu sendiri sehingga akan memuat objek bersama yang berbahaya.”
Rantai serangan dimulai dengan file penetes ELF yang bertanggung jawab untuk mengekstrak muatan (“libdl.so”) dan menambahkannya ke pustaka bersama yang sedang dimuat oleh tautan dinamis.
Pustaka bersama nakal direkayasa untuk menghubungkan fungsi dari tiga pustaka — libc, libcap, dan Pluggable Authentication Module (PAM) — menyebabkan proses yang ada dan baru menggunakan fungsi yang dimodifikasi, pada dasarnya memungkinkannya untuk memanen kredensial, menyembunyikan aktivitas jaringan, dan mengatur akses jarak jauh ke host melalui SSH, sambil tetap berada di bawah radar.
Selain itu, OrBit bergantung pada rentetan metode yang memungkinkannya berfungsi tanpa memperingatkan kehadirannya dan membangun kegigihan dengan cara yang membuatnya sulit untuk dihapus dari mesin yang terinfeksi.
Setelah digunakan, tujuan utama pintu belakang adalah untuk mencuri informasi dengan mengaitkan fungsi baca dan tulis untuk menangkap data yang sedang ditulis oleh proses yang dijalankan pada mesin, termasuk perintah bash dan sh, yang hasilnya disimpan dalam file tertentu.
“Apa yang membuat malware ini sangat menarik adalah pengaitan perpustakaan yang hampir tertutup pada mesin korban, yang memungkinkan malware untuk mendapatkan kegigihan dan menghindari deteksi saat mencuri informasi dan mengatur backdoor SSH,” kata Fishbein.
“Ancaman yang menargetkan Linux terus berkembang sementara berhasil tetap berada di bawah radar alat keamanan, sekarang OrBit adalah satu lagi contoh bagaimana malware baru dapat mengelak dan bertahan.”