มัลแวร์ตัวใหม่ที่พึ่งถูกบนระบบปฏิบัติการ Linux กำลังถูกใช้เพื่อขโมยข้อมูลจากระบบ และแพร่กระจายไปยัง process ต่างๆที่ทำงานอยู่บนเครื่อง
นักวิจัยด้านความปลอดภัยของ Intezer Labs ซึ่งเป็นผู้ค้นพบ ตั้งชื่อมัลแวร์ว่า OrBit โดยมัลแวร์จะทำการ hijack shared libraries เพื่อดักจับการเรียกใช้ฟังก์ชัน โดยการแก้ไขตัวแปร LD_PRELOAD บนอุปกรณ์ที่ถูกโจมตี
นอกจากนี้มันยังสามารถเชื่อมโยงฟังก์ชันต่างๆ เพื่อหลบเลี่ยงการตรวจจับ, ควบคุมพฤติกรรมของ process, แอบแฝงตัวอยู่บนระบบโดยการแพร่กระจายไปยัง process ใหม่ และซ่อนพฤติกรรมการเชื่อมต่อบนเครือข่าย ตัวอย่างเช่น เมื่อมัลแวร์แฝงตัวเข้าไปใน process ที่ทำงานอยู่ มัลแวร์ OrBit สามารถเลือกที่จะแสดงผลลัพธ์ของการทำงาน เพื่อซ่อนร่องรอยของการมีอยู่ของมันไม่ให้ถูกพบบน Log
Nicole Fishbein นักวิจัยด้านความปลอดภัยของ Intezer Labs อธิบายว่า "มัลแวร์ใช้เทคนิคการหลีกเลี่ยงการตรวจจับขั้นสูง ทำให้มันสามารถแอบแฝงตัวอยู่บนระบบได้ และทำให้ผู้โจมตีสามารถเข้าถึงเครื่องเหยื่อด้วยการ Remote ผ่าน SSH เพื่อค้นหาข้อมูล credentials บนระบบ"
"เมื่อมัลแวร์ถูกติดตั้งแล้ว มันจะแพร่กระจายไปยัง process ต่างๆที่กำลังทำงานอยู่บนเครื่องทั้งหมด รวมถึง process ใหม่ๆที่จะถูกใช้งานในภายหลังด้วย"
แม้ว่าในช่วงแรกส่วนประกอบของ dropper และ payload ของ OrBit จะยังไม่ถูกตรวจจับได้โดย Antivirus engine แต่ในปัจจุบันผู้ให้บริการ Antivirus หลายรายก็เริ่มอัปเดต และแจ้งเตือนผู้ใช้งานเมื่อมีการตรวจพบ OrBit ได้แล้ว
OrBit ไม่ใช่มัลแวร์บน Linux ที่มีความสามารถในการหลีกเลี่ยงการตรวจจับตัวแรกที่ถูกตรวจพบ โดยก่อนหน้านี้มัลแวร์ Symbiote ที่ใช้คำสั่ง LD_PRELOAD เพื่อโหลดตัวเองเข้าสู่ process ต่างๆที่กำลังทำงานอยู่บนเครื่อง และไม่ทิ้งร่องรอยของการทำงานของมันไว้ และ BPFDoor มัลแวร์อีกตัวหนึ่งที่ตรวจพบเมื่อเร็ว ๆ นี้ที่ปลอมตัวโดยใช้ชื่อของ Linux daemons ทั่วๆไป ซึ่งก็ช่วยทำให้มันไม่เคยถูกตรวจจับได้มานานกว่าห้าปี
มัลแวร์ทั้งสองตัวนี้ใช้ฟังก์ชัน BPF (Berkeley Packet Filter) เพื่อตรวจสอบ และจัดการการรับส่งข้อมูลบนเครือข่าย ซึ่งช่วยซ่อนช่องทางการสื่อสารจากการตรวจจับโดยอุปกรณ์ด้านความปลอดภัย
มัลแวร์ Linux อีกตัวซึ่งเป็น rootkit ภายใต้การพัฒนาในชื่อ Syslogk และถูกเปิดเผยโดยนักวิจัยของ Avast เมื่อเดือนที่แล้ว ก็สามารถบังคับโหลดโมดูลของตัวเองลงใน Linux kernel, เปิด backdoor บนเครื่องเหยื่อ และซ่อน directory และการเชื่อมต่อบนเครือข่ายเพื่อหลบเลี่ยงการตรวจจับได้
แม้ว่าจะไม่ใช่มัลแวร์ตัวแรกๆที่มุ่งเป้าไปที่ Linux แต่ OrBit ก็ถือว่ามาพร้อมกับความสามารถที่แตกต่างจากมัลแวร์ตัวอื่น ๆ เนื่องจากมันสามารถขโมยข้อมูลจากขโมยข้อมูลจากคำสั่ง และยูทิลิตี้ต่างๆ และจัดเก็บไว้ในไฟล์เฉพาะที่ถูกสร้างขึ้นบนเครื่อง นอกจากนี้ยังมีการใช้ไฟล์จำนวนมากเพื่อจัดเก็บข้อมูล ซึ่งเป็นสิ่งที่ไม่เคยเห็นมาก่อนในมัลแวร์ตัวอื่นๆ" Fishbein กล่าวเสริม
อีกสิ่งที่ทำให้มัลแวร์ตัวนี้มีความน่าสนใจเป็นพิเศษก็คือการเชื่อมต่อกับไลบรารี่บนเครื่องของเหยื่อจำนวนมาก ซึ่งทำให้มันสามารถแอบแฝงตัว และหลบเลี่ยงการตรวจจับในขณะที่กำลังขโมยข้อมูล และตั้งค่า SSH backdoor
ที่มา: www.bleepingcomputer.com