這種新型的Linux惡意軟件幾乎不可能被檢測到

周四， BlackBerry Threat Research 和Intelligence team的研究人員與整數安全研究者Joakim Kennedy共同發表了一篇關于惡意軟件的博客文章，并根據其“寄生”的性質，將其命名為“Symbiote（共生）”。

該團隊在幾個月前發現了Symbiote。它不同于現在那些典型的Linux惡意軟件。它通常感染正在運行的進程。作為一個共享對象(SO)庫，Symbiote通過LD_PRELOAD將自己加載在所有正在運行的進程上。

研究人員表示，共享對象庫通過“寄生”的方式來危害目標機器，并且一旦“魔爪”深刻地嵌入系統，那么惡意軟件就可以為攻擊者提供rootkit功能。.

最初的樣本數據出現于2021年11月，似乎是針對拉丁美洲的金融機構所開發的。然而，由于惡意軟件是新型的，具有模糊性，所以就算真的遭遇了攻擊，研究人員也無法確定Symbiote進行的攻擊是有針對性的還是廣泛的。

Symbiote具有一些有趣的特征。例如，該惡意軟件會連接使用Berkeley數據包過濾器(BPF)，這可以幫助將受感染機器上的惡意流量進行隱藏。同時，Equation Group開發的惡意軟件也會使用BPF。

BlackBerry解釋道：“當管理員在受感染的機器上啟動包捕獲工具時，BPF字節碼就會被注入到內核中，定義哪些包應該被捕獲，”在這個過程中，Symbiote首先增加自己的字節碼，這樣它就可以過濾出不希望數據包捕獲軟件看到的那些網絡流量。”

隱身是Linux惡意軟件中最令人印象深刻的元素之一。惡意軟件搶先在其他共享對象之前進行預加載，以使自己可以連接特定的功能（包括libc和libpcap），從而隱藏自己的存在。同時與Symbiote 相關的其他文件也會被隱藏起來，其網絡條目也會被不斷清除。

此外，Symbiote還能通過連接libc來讀取函數，進而獲取憑據，并通過連接Linux可插拔身份驗證模塊(PAM)函數來促進遠程訪問。

研究過程中發現，與Symbiote相關的域名冒充巴西主要的銀行，而另一個被鏈接的服務器則偽裝成巴西聯邦警方。

一個被命名為certbotx64的惡意軟件樣本被上傳到VirusTotal上。由于該樣品是在惡意軟件的主要基礎設施上線之前提交的，所以該團隊懷疑，上傳該樣本可能是為了防病毒或者是以檢測測試為目的的。

研究人員表示：“我們第一次用整數分析法分析樣本時，只檢測到了唯一一種代碼，”由于Symbiote、Ebury/Windio以及其他已知的Linux惡意軟件之間并沒有共享代碼，所以我們可以自信地得出這樣一種結論：Symbiote是一種新型的，并且以往從未被發現過的Linux惡意軟件。”

數世點評

Symbiote主要是通過利用rootkit功能來進一步隱藏其存在的證據，從而達到“隱身”的效果。這使得系統幾乎無法針對此種惡意軟件來對自身進行感染檢測。但同時，系統可以通過網絡遙測來檢測異常的DNS請求，并保持安全工具的靜態鏈接，以確保自己不會被用戶端的rootkit所感染，進而降低被Symbiote感染的風險。