?Intezer 和 BlackBerry 的研究團(tuán)隊(duì)近期新發(fā)現(xiàn)了一種新的 Linux 惡意軟件，以一種寄生的性質(zhì)影響 Linux 操作系統(tǒng)；它會(huì)感染受感染系統(tǒng)上所有正在運(yùn)行的進(jìn)程，為威脅參與者提供 rootkit 功能、獲取憑證和遠(yuǎn)程訪問(wèn)的能力。

他們將這一惡意軟件命名為 Symbiote，并描述為 “一種新的、幾乎不可能檢測(cè)到的 Linux 威脅”。Symbiote 最早被檢測(cè)到是在 2021 年 11 月，研究發(fā)現(xiàn)它似乎是針對(duì)拉丁美洲的金融部門(mén)而編寫(xiě)的。

根據(jù)介紹，Symbiote 不是典型的可執(zhí)行文件形式，而是一個(gè)共享對(duì)象 (SO) 庫(kù)，使用 LD_PRELOAD 指令加載到正在運(yùn)行的進(jìn)程中，并寄生地感染機(jī)器。它利用 Berkeley Packet Filter (BPF) hooking 功能來(lái)隱藏受感染機(jī)器上的惡意網(wǎng)絡(luò)流量。

安全研究人員指出，當(dāng)它將自身注入進(jìn)程時(shí)，惡意軟件可以選擇它想要顯示的結(jié)果?！叭绻芾韱T在受感染的機(jī)器上啟動(dòng)數(shù)據(jù)包捕獲以調(diào)查一些可疑的網(wǎng)絡(luò)流量，Symbiote 會(huì)將自己注入到檢查軟件的進(jìn)程中，并使用 BPF hooking 來(lái)過(guò)濾出可能揭示其活動(dòng)的結(jié)果”。

Symbiote 可以 hooking “l(fā)ibc” 和 “l(fā)ibpcap”函數(shù)并執(zhí)行各種操作來(lái)隱藏其存在，例如隱藏寄生進(jìn)程、隱藏與惡意軟件一起部署的文件等等。為了隱藏受感染機(jī)器上的惡意網(wǎng)絡(luò)活動(dòng)，Symbiote會(huì)清理它想要隱藏的連接條目，通過(guò) BPF 執(zhí)行數(shù)據(jù)包過(guò)濾，并刪除到其列表中域名的 UDP 流量。

除了隱藏自己在機(jī)器上的存在外，Symbiote 惡意軟件還會(huì)隱藏與可能與其一起部署的惡意軟件相關(guān)的其他文件。

研究人員總結(jié)稱(chēng)，Symbiote 是一種具有高度規(guī)避性的惡意軟件。它的主要目標(biāo)是捕獲憑據(jù)并促進(jìn)對(duì)受感染機(jī)器的后門(mén)訪問(wèn)。由于惡意軟件作為用戶(hù)級(jí) rootkit 運(yùn)行，因此檢測(cè)感染可能很困難。網(wǎng)絡(luò)遙測(cè)可用于檢測(cè)異常 DNS 請(qǐng)求，并且應(yīng)靜態(tài)鏈接 AV 和 EDR 等安全工具，以確保它們不會(huì)被用戶(hù)級(jí) rootkit “感染”。?