新的Symbiote惡意軟件會感染Linux系統上所有進程

一種新發現的名為 Symbiote的Linux惡意軟件會感染受感染系統上所有正在運行的進程，竊取帳戶憑據，并為其操作員提供后門訪問權限。

在將自身注入到所有正在運行的進程中后，惡意軟件會充當系統范圍的寄生蟲，即使在細致的深入檢查過程中也不會留下可識別的感染跡象。

Symbiote使用BPF（伯克利包過濾器）掛鉤功能來嗅探網絡數據包并隱藏自己的通信通道以防止安全工具。

BlackBerry和Intezer Labs的研究人員發現并分析了這種新穎的威脅，他們共同在一份詳細的技術報告中揭示了新惡意軟件的所有方面。據他們介紹，Symbiote自去年以來一直在積極開發中。

通過共享對象進行系統范圍的感染

Symbiote不是典型的可執行文件形式，而是一個共享對象 (SO)庫，它使用LD_PRELOAD指令加載到正在運行的進程中，以獲得相對于其他SO的優先級。

作為第一個加載，Symbiote可以掛鉤“libc”和“libpcap”函數并執行各種操作來隱藏其存在，例如隱藏寄生進程、隱藏與惡意軟件一起部署的文件等等。

安全研究人員在今天發布的一份報告中透露： “當它將自身注入進程時，惡意軟件可以選擇它顯示的結果。 ”

“如果管理員在受感染的機器上啟動數據包捕獲以調查一些可疑的網絡流量Symbiote會將自己注入到檢查軟件的進程中，并使用BPF掛鉤來過濾出可能揭示其活動的結果。”

為了隱藏受感染機器上的惡意網絡活動，Symbiote會清理它想要隱藏的連接條目，通過BPF執行數據包過濾，并刪除到其列表中域名的UDP流量。

后門和數據盜竊

這種隱秘的新惡意軟件主要用于通過掛鉤“libc讀取”功能從被黑客入侵的Linux設備中自動收集憑據。

在針對高價值網絡中的Linux服務器時，這是一項至關重要的任務，因為竊取管理員帳戶憑據為暢通無阻的橫向移動和無限制地訪問整個系統開辟了道路。

Symbiote還通過PAM服務為其操作員提供對機器的遠程 SHH訪問，同時它還為威脅參與者提供了一種在系統上獲得 root權限的方法。

該惡意軟件的目標主要是拉丁美洲從事金融行業的實體，冒充巴西銀行、該國聯邦警察等。

“由于惡意軟件作為用戶級rootkit運行，因此檢測感染可能很困難，”研究人員總結道。

“網絡遙測可用于檢測異常DNS請求，并且應靜態鏈接AV 和 EDR等安全工具，以確保它們不會被用戶級rootkit'感染'。”

由于大型且有價值的企業網絡廣泛使用這種架構，因此用于攻擊Linux系統的這種高級且高度規避的威脅預計將在接下來的時期內顯著增加。

就在上個月，另一個名為BPFDoor的類似后門 被發現使用 BPF（伯克利包過濾器）被動地監聽受感染主機上的傳入和傳出網絡流量。