近期，一種新發(fā)現(xiàn)的名為Symbiote的Linux惡意軟件會(huì)感染目標(biāo)系統(tǒng)上所有正在運(yùn)行的進(jìn)程，竊取帳戶憑據(jù)并為其背后的操作員提供后門訪問權(quán)限。據(jù)調(diào)查，該惡意軟件會(huì)將自身注入所有正在運(yùn)行的進(jìn)程，就像是一個(gè)系統(tǒng)里的寄生蟲，即使再細(xì)致的深入檢查期間也不會(huì)留下可識(shí)別的感染跡象。它使用 BPF（柏克萊封包過濾器）掛鉤功能來嗅探網(wǎng)絡(luò)數(shù)據(jù)包并隱藏自己的通信通道以防止安全工具的檢測(cè)。

BlackBerry和 Intezer Labs 的研究人員發(fā)現(xiàn)并分析了這種新型威脅，他們?cè)谝环菰敿?xì)的技術(shù)報(bào)告中揭示了該新惡意軟件的詳細(xì)信息。據(jù)他們介紹，Symbiote 自去年以來一直被積極開發(fā)中。

與典型的可執(zhí)行文件形式不同，Symbiote是一個(gè)共享對(duì)象(SO)庫，它使用LD_PRELOAD指令加載到正在運(yùn)行的進(jìn)程中，以獲得相對(duì)于其他SOs的優(yōu)先級(jí)。通過第一個(gè)加載，Symbiote可以掛鉤“l(fā)ibc”和“l(fā)ibpcap”函數(shù)，并執(zhí)行各種操作來隱藏它的存在，比如隱藏寄生進(jìn)程、隱藏部署了惡意軟件的文件等等。

安全研究人員在近期發(fā)布的一份報(bào)告中透露： “當(dāng)惡意軟件將自己注入程序中時(shí)，它可以選擇顯示哪些結(jié)果。如果管理員在受感染的機(jī)器上啟動(dòng)數(shù)據(jù)包捕獲，以調(diào)查一些可疑的網(wǎng)絡(luò)流量，Symbiote就會(huì)把自己注入到檢查軟件的過程中，并使用BPF掛鉤過濾掉可能暴露其活動(dòng)的結(jié)果。”為了隱藏其在受損機(jī)器上的惡意網(wǎng)絡(luò)活動(dòng)，Symbiote會(huì)清除它想要隱藏的連接條目，通過BPF進(jìn)行包過濾，并移除其域名列表中的UDP traffic。

這種隱秘的新惡意軟件主要通過連接“l(fā)ibc讀取”功能從被黑的Linux設(shè)備中自動(dòng)獲取證書。在針對(duì)高價(jià)值網(wǎng)絡(luò)中的Linux服務(wù)器時(shí)，這是一項(xiàng)至關(guān)重要的任務(wù)，因?yàn)楦`取管理員帳戶憑據(jù)為暢通無阻的橫向移動(dòng)和無限制地訪問整個(gè)系統(tǒng)開辟了道路。Symbiote還通過PAM服務(wù)為其背后的威脅參與者提供對(duì)機(jī)器的遠(yuǎn)程SHH訪問，同時(shí)它還為威脅參與者提供了一種在系統(tǒng)上獲得 root 權(quán)限的方法。該惡意軟件的目標(biāo)主要是拉丁美洲從事金融行業(yè)的實(shí)體，他們會(huì)冒充巴西銀行、該國聯(lián)邦警察等。研究人員表示由于惡意軟件作為用戶級(jí) rootkit 運(yùn)行，因此在檢測(cè)是否感染時(shí)就很困難。

“網(wǎng)絡(luò)遙測(cè)技術(shù)可以用來檢測(cè)異常的DNS請(qǐng)求，安全工具，如AVs和edr應(yīng)該靜態(tài)鏈接，以確保它們不被用戶的rootkits‘感染’，”專家表示，隨著大型和有價(jià)值的公司網(wǎng)絡(luò)廣泛使用這種架構(gòu)，這種用于攻擊Linux系統(tǒng)的先進(jìn)和高度規(guī)避的威脅預(yù)計(jì)將在未來顯著增加。