研究人員新發現一種極為隱蔽的Linux惡意軟體

Editor發表於2022-06-13

研究人員新發現一種極為隱蔽的Linux惡意軟體

編輯:左右裡


6月9日,Intezer安全研究員Joakim Kennedy與BlackBerry研究和情報團隊一併發表了一篇詳細的技術報告,他們在報告中聲稱發現了一種命名為Symbiote的新型Linux惡意軟體。 


Symbiote(共生體)與一般的Linux惡意軟體的不同之處在於,它需要感染其他正在執行的程式才能對受感染的裝置造成損害。它不是一個直接感染裝置的獨立可執行檔案,而是使用LD_PRELOAD(T1574.006)載入到所有正在執行的程式中的共享物件 (SO) 庫,從而寄生感染裝置。一旦它感染了所有正在執行的程式,攻擊者就能獲取rootkit功能,進行憑據收集和遠端訪問。


規避檢測技術


Symbiote非常隱蔽。該惡意軟體被設計為由連結器通過LD_PRELOAD指令載入,這就允許它在任何其他共享物件之前載入,從而可以在為應用程式載入的其他庫檔案中“劫持匯入”。


Symbiote還通過掛鉤libc和libpcap函式來隱藏它在裝置上的存在痕跡。下圖大致說明了該惡意軟體是如何規避檢測的。


研究人員新發現一種極為隱蔽的Linux惡意軟體


Symbiote技術方面的一個有趣地方是它的伯克利資料包過濾器(BPF)掛鉤功能。當管理員在受感染的裝置上啟動任何資料包捕獲工具時,BPF 位元組碼將注入到核心中,以定義應捕獲哪些資料包。在此過程中,Symbiote會先一步新增其位元組碼,以便過濾掉它不希望資料包捕獲軟體看到的網路流量。


Symbiote最早被發現於2021年11月,研究人員認為它可能是為了針對拉丁美洲的金融部門而編寫的。當該惡意軟體感染裝置後,它會隱藏自身以及攻擊者使用的任何其他惡意軟體,這使得其很難被檢測到。該技術報告的研究員們亦沒有找到足夠的證據來確定Symbiote是否被用於高度針對性或廣泛的攻擊。


研究報告連結:

https://blogs.blackberry.com/en/2022/06/symbiote-a-new-nearly-impossible-to-detect-linux-threat



資訊來源:blackberry、intezer

轉載請註明出處和本文連結



每日漲知識

檔案感染病毒

許多病毒感染不同型別的可執行檔案,並且在作業系統試圖執行這些檔案時觸發。對於基於Windows的系統來說,可執行檔案以副檔名.exe和.com為字尾。

研究人員新發現一種極為隱蔽的Linux惡意軟體


推薦文章++++

世界安全大會RSAC 2022焦點總覽

趨勢科技發現古巴勒索軟體新變種

美國拆除SSNDOB地下市場

Mandiant否認遭LockBit勒索軟體攻擊

微軟稱阻止了黎巴嫩黑客組織對以色列的攻擊活動

歐洲刑警組織拆除FluBot安卓惡意軟體

FBI警告與烏克蘭有關的網路詐騙氾濫







研究人員新發現一種極為隱蔽的Linux惡意軟體


相關文章