編輯:左右裡
6月9日,Intezer安全研究員Joakim Kennedy與BlackBerry研究和情報團隊一併發表了一篇詳細的技術報告,他們在報告中聲稱發現了一種命名為Symbiote的新型Linux惡意軟體。
Symbiote(共生體)與一般的Linux惡意軟體的不同之處在於,它需要感染其他正在執行的程式才能對受感染的裝置造成損害。它不是一個直接感染裝置的獨立可執行檔案,而是使用LD_PRELOAD(T1574.006)載入到所有正在執行的程式中的共享物件 (SO) 庫,從而寄生感染裝置。一旦它感染了所有正在執行的程式,攻擊者就能獲取rootkit功能,進行憑據收集和遠端訪問。
規避檢測技術
Symbiote非常隱蔽。該惡意軟體被設計為由連結器通過LD_PRELOAD指令載入,這就允許它在任何其他共享物件之前載入,從而可以在為應用程式載入的其他庫檔案中“劫持匯入”。
Symbiote還通過掛鉤libc和libpcap函式來隱藏它在裝置上的存在痕跡。下圖大致說明了該惡意軟體是如何規避檢測的。
Symbiote技術方面的一個有趣地方是它的伯克利資料包過濾器(BPF)掛鉤功能。當管理員在受感染的裝置上啟動任何資料包捕獲工具時,BPF 位元組碼將注入到核心中,以定義應捕獲哪些資料包。在此過程中,Symbiote會先一步新增其位元組碼,以便過濾掉它不希望資料包捕獲軟體看到的網路流量。
Symbiote最早被發現於2021年11月,研究人員認為它可能是為了針對拉丁美洲的金融部門而編寫的。當該惡意軟體感染裝置後,它會隱藏自身以及攻擊者使用的任何其他惡意軟體,這使得其很難被檢測到。該技術報告的研究員們亦沒有找到足夠的證據來確定Symbiote是否被用於高度針對性或廣泛的攻擊。
研究報告連結:
https://blogs.blackberry.com/en/2022/06/symbiote-a-new-nearly-impossible-to-detect-linux-threat
資訊來源:blackberry、intezer
轉載請註明出處和本文連結
每日漲知識
檔案感染病毒
許多病毒感染不同型別的可執行檔案,並且在作業系統試圖執行這些檔案時觸發。對於基於Windows的系統來說,可執行檔案以副檔名.exe和.com為字尾。
推薦文章++++
* 世界安全大會RSAC 2022焦點總覽
* 趨勢科技發現古巴勒索軟體新變種
* 美國拆除SSNDOB地下市場
* Mandiant否認遭LockBit勒索軟體攻擊
* 微軟稱阻止了黎巴嫩黑客組織對以色列的攻擊活動
* 歐洲刑警組織拆除FluBot安卓惡意軟體
* FBI警告與烏克蘭有關的網路詐騙氾濫
﹀
﹀
﹀