研究人員新發現一種極為隱蔽的Linux惡意軟體

編輯：左右裡

6月9日，Intezer安全研究員Joakim Kennedy與BlackBerry研究和情報團隊一併發表了一篇詳細的技術報告，他們在報告中聲稱發現了一種命名為Symbiote的新型Linux惡意軟體。 

Symbiote（共生體）與一般的Linux惡意軟體的不同之處在於，它需要感染其他正在執行的程式才能對受感染的裝置造成損害。它不是一個直接感染裝置的獨立可執行檔案，而是使用LD_PRELOAD（T1574.006）載入到所有正在執行的程式中的共享物件 （SO） 庫，從而寄生感染裝置。一旦它感染了所有正在執行的程式，攻擊者就能獲取rootkit功能，進行憑據收集和遠端訪問。

規避檢測技術

Symbiote非常隱蔽。該惡意軟體被設計為由連結器透過LD_PRELOAD指令載入，這就允許它在任何其他共享物件之前載入，從而可以在為應用程式載入的其他庫檔案中“劫持匯入”。

Symbiote還透過掛鉤libc和libpcap函式來隱藏它在裝置上的存在痕跡。下圖大致說明了該惡意軟體是如何規避檢測的。

Symbiote技術方面的一個有趣地方是它的伯克利資料包過濾器（BPF）掛鉤功能。當管理員在受感染的裝置上啟動任何資料包捕獲工具時，BPF 位元組碼將注入到核心中，以定義應捕獲哪些資料包。在此過程中，Symbiote會先一步新增其位元組碼，以便過濾掉它不希望資料包捕獲軟體看到的網路流量。

Symbiote最早被發現於2021年11月，研究人員認為它可能是為了針對拉丁美洲的金融部門而編寫的。當該惡意軟體感染裝置後，它會隱藏自身以及攻擊者使用的任何其他惡意軟體，這使得其很難被檢測到。該技術報告的研究員們亦沒有找到足夠的證據來確定Symbiote是否被用於高度針對性或廣泛的攻擊。

研究報告連結：

https://blogs.blackberry.com/en/2022/06/symbiote-a-new-nearly-impossible-to-detect-linux-threat

資訊來源：blackberry、intezer

轉載請註明出處和本文連結

每日漲知識

檔案感染病毒

許多病毒感染不同型別的可執行檔案，並且在作業系統試圖執行這些檔案時觸發。對於基於Windows的系統來說，可執行檔案以副檔名.exe和.com為字尾。

推薦文章++++

* 世界安全大會RSAC 2022焦點總覽

* 趨勢科技發現古巴勒索軟體新變種

* 美國拆除SSNDOB地下市場

* Mandiant否認遭LockBit勒索軟體攻擊

* 微軟稱阻止了黎巴嫩駭客組織對以色列的攻擊活動

* 歐洲刑警組織拆除FluBot安卓惡意軟體

* FBI警告與烏克蘭有關的網路詐騙氾濫

﹀

﹀

﹀