“幾乎不可能被檢測到”的Linux惡意軟件

研究人員表示，一種“幾乎不可能檢測到”的新Linux惡意軟件已經出現，它不僅可以收集憑據，并且可以通過寄生方式感染目標，為攻擊者提供遠程訪問和rootkit功能。

安全研究員Joakim Kennedy在上周發布的黑莓威脅矢量博客上的一篇文章中寫道，黑莓研究和情報團隊的研究人員一直在跟蹤惡意軟件，他們是在2021年11月最早檢測到該惡意軟件。

研究人員恰當地將惡意軟件稱為“共生體”，該惡意軟件顯然是針對拉丁美洲金融部門的。在生物學中，這個詞指的是與另一個生物體共生的生物體。

Kennedy解釋說，選取這個名字其實是為了突出惡意軟件操作方式，因為該軟件的操作方式前所未見，與研究人員遇到的其他Linux惡意軟件不同。

他寫道：“Symbiote與眾不同......在于，它需要感染其他正在運行的進程，才能對受感染的機器造成損害。”“它不是為感染機器而運行的獨立可執行文件，而是一個共享對象（SO）庫，使用LD_PRELOAD（T1574.006）加載到所有正在運行的進程中，并寄生蟲式地感染機器。”

Kennedy說，一旦Symbiote感染了所有運行進程，威脅行為者就可以從事各種邪惡的活動，包括遠程使用rootkit功能、收集憑據的能力和遠程訪問能力。

他補充說，除了rootkit功能外，惡意軟件還為威脅行為者提供了一個后門，以便使用硬編碼密碼作為機器上的任何用戶登錄，并以最高權限執行命令。

規避機動

研究人員表示，共生體的行為并不是唯一使其獨一無二的東西。他說，它本身也具有非常強大的規避功能，以至于它“可能在雷達的搜索下飛行”，因此很難知道它是否被威脅行為者使用。

研究人員發現，它使用的一些規避策略是，根據設計，它由鏈接器通過LD_PRELOAD指令加載，該指令允許在任何其他共享對象之前加載。他們說，首先加載的特權允許它劫持從為應用程序加載的其他庫文件中導入。Kennedy說，通過這種方式，它通過鉤住libc和libpcap函數來隱藏其在機器上的存在。

他解釋說：“一旦惡意軟件感染了機器，它就會隱藏自己和威脅行為者使用的任何其他惡意軟件，使感染很難檢測到。”“在受感染的機器上進行實時取證可能不會出現任何問題，因為所有文件、進程和網絡工件都被惡意軟件隱藏了。”

事實上，研究人員表示，他們自己無法發現足夠的證據來確定威脅行為者目前是否“在高度針對性或廣泛的攻擊中使用共生生物”。

研究人員指出，不尋常的DNS請求可能是檢測系統上是否存在惡意軟件的一種方式。然而，他們說，旨在檢測和響應的典型防病毒或其他安全工具不會接收Symbiote，這使得使用依賴這些保護的Linux的組織面臨風險。

目標

Kennedy指出，攻擊者揮舞共生體的主要目標是“捕獲證書，并為后門訪問受感染的機器提供便利”。他詳細概述了惡意軟件如何實現這兩項活動。

Kennedy說，對于憑據收集，Symbiote會鉤住libc讀取函數；如果ssh或scp進程調用該函數，它會捕獲憑據，這些憑據首先使用嵌入式密鑰使用RC4加密，然后寫入文件。

他補充說，攻擊者不僅在本地竊取憑據進行訪問，還通過十六進制編碼和將通過DNS地址記錄請求發送的數據分塊到他們控制的域名來過濾它們。

Kennedy說，為了遠程訪問受感染的機器，該惡意軟件掛鉤了一些Linux可插拔身份驗證模塊（PAM）功能，允許它使用任何使用PAM的服務對機器進行身份驗證，包括安全外殼（SSH）等遠程服務。

他解釋說：“當服務試圖使用PAM對用戶進行身份驗證時，惡意軟件會根據硬編碼密碼檢查提供的密碼。”“如果提供的密碼是匹配的，則鉤住函數將返回成功響應。”

Kennedy說，一旦威脅行為者完成身份驗證，Symbiote允許攻擊者通過掃描環境以查找變量HTTP_SETTHIS來獲得根特權。

他解釋說：“如果變量是用內容設置的，惡意軟件會將有效用戶和組ID更改為根用戶，然后在通過系統命令執行內容之前清除變量。”

文章來源：嘶吼專業版