近期，一種新發(fā)現(xiàn)的名為Symbiote的Linux惡意軟件會感染目標系統(tǒng)上所有正在運行的進程，竊取帳戶憑據(jù)并為其背后的操作員提供后門訪問權限。據(jù)調查，該惡意軟件會將自身注入所有正在運行的進程，就像是一個系統(tǒng)里的寄生蟲，即使再細致的深入檢查期間也不會留下可識別的感染跡象。它使用 BPF（柏克萊封包過濾器）掛鉤功能來嗅探網(wǎng)絡數(shù)據(jù)包并隱藏自己的通信通道以防止安全工具的檢測。

BlackBerry和 Intezer Labs 的研究人員發(fā)現(xiàn)并分析了這種新型威脅，他們在一份詳細的技術報告中揭示了該新惡意軟件的詳細信息。據(jù)他們介紹，Symbiote 自去年以來一直被積極開發(fā)中。

與典型的可執(zhí)行文件形式不同，Symbiote是一個共享對象(SO)庫，它使用LD_PRELOAD指令加載到正在運行的進程中，以獲得相對于其他SOs的優(yōu)先級。通過第一個加載，Symbiote可以掛鉤“l(fā)ibc”和“l(fā)ibpcap”函數(shù)，并執(zhí)行各種操作來隱藏它的存在，比如隱藏寄生進程、隱藏部署了惡意軟件的文件等等。

安全研究人員在近期發(fā)布的一份報告中透露： “當惡意軟件將自己注入程序中時，它可以選擇顯示哪些結果。如果管理員在受感染的機器上啟動數(shù)據(jù)包捕獲，以調查一些可疑的網(wǎng)絡流量，Symbiote就會把自己注入到檢查軟件的過程中，并使用BPF掛鉤過濾掉可能暴露其活動的結果?！睘榱穗[藏其在受損機器上的惡意網(wǎng)絡活動，Symbiote會清除它想要隱藏的連接條目，通過BPF進行包過濾，并移除其域名列表中的UDP traffic。

這種隱秘的新惡意軟件主要通過連接“l(fā)ibc讀取”功能從被黑的Linux設備中自動獲取證書。在針對高價值網(wǎng)絡中的Linux服務器時，這是一項至關重要的任務，因為竊取管理員帳戶憑據(jù)為暢通無阻的橫向移動和無限制地訪問整個系統(tǒng)開辟了道路。Symbiote還通過PAM服務為其背后的威脅參與者提供對機器的遠程SHH訪問，同時它還為威脅參與者提供了一種在系統(tǒng)上獲得 root 權限的方法。該惡意軟件的目標主要是拉丁美洲從事金融行業(yè)的實體，他們會冒充巴西銀行、該國聯(lián)邦警察等。研究人員表示由于惡意軟件作為用戶級 rootkit 運行，因此在檢測是否感染時就很困難。

“網(wǎng)絡遙測技術可以用來檢測異常的DNS請求，安全工具，如AVs和edr應該靜態(tài)鏈接，以確保它們不被用戶的rootkits‘感染’，”專家表示，隨著大型和有價值的公司網(wǎng)絡廣泛使用這種架構，這種用于攻擊Linux系統(tǒng)的先進和高度規(guī)避的威脅預計將在未來顯著增加。