针对 Linux 的新型恶意软件 Symbiote：几乎不可能被检测到

<跨风格="颜色:# 000000 "> Intezer和黑莓的研究团队近期新发现了一种新的Linux恶意软件,以一种寄生的性质影响Linux操作系统;它会感染受感染系统上所有正在运行的进程,为威胁参与者提供rootkit功能,获取凭证和远程访问的能力。

他们将这一恶意软件命名为共生体,并描述为“一种新的,几乎不可能检测到的Linux威胁”.Symbiote最早被检测到是在2021年11月,研究发现它似乎是针对拉丁美洲的金融部门而编写的。

根据介绍,共生体不是典型的可执行文件形式,而是一个共享对象(所以)库,使用LD_PRELOAD指令加载到正在运行的进程中,并寄生地感染机器。它利用伯克利包过滤(瘘)连接功能来隐藏受感染机器上的恶意网络流量。

安全研究人员指出,当它将自身注入进程时,恶意软件可以选择它想要显示的结果。“如果管理员在受感染的机器上启动数据包捕获以调查一些可疑的网络流量,共生生物会将自己注入到检查软件的进程中,并使用带通滤波器连接来过滤出可能揭示其活动的结果”。

共生体可以把“libc”和“libpcap”函数并执行各种操作来隐藏其存在,例如隐藏寄生进程,隐藏与恶意软件一起部署的文件等等。为了隐藏受感染机器上的恶意网络活动,共生生物会清理它想要隐藏的连接条目,通过带通滤波器执行数据包过滤,并删除到其列表中域名的UDP流量。

除了隐藏自己在机器上的存在外,共生体恶意软件还会隐藏与可能与其一起部署的恶意软件相关的其他文件。

研究人员总结称,共生体是一种具有高度规避性的恶意软件。它的主要目标是捕获凭据并促进对受感染机器的后门访问。由于恶意软件作为用户级rootkit运行,因此检测感染可能很困难。网络遥测可用于检测异常DNS请求,并且应静态链接AV和EDR等安全工具,以确保它们不会被用户级rootkit”感染”。

详情可查看官方公告。

针对 Linux 的新型恶意软件 Symbiote：几乎不可能被检测到