Symbiote 一種使用複雜技術隱藏和竊取憑據的 Linux 惡意軟件

許多用戶 基於操作系統的 Linux 經常有一種誤解，認為“在 Linux 中沒有病毒” 他們甚至引用了更高的安全性來證明他們對所選發行版的熱愛是合理的，並且這種想法的原因很清楚，因為了解 Linux 中的“病毒”可以說是一種“禁忌”……

多年來，這種情況發生了變化。，因為在 Linux 中檢測到惡意軟件的消息已經開始越來越頻繁地出現，並且越來越多地關於它們變得能夠隱藏並且最重要的是保持它們在受感染系統中的存在變得多麼複雜。

談論這個的事實是因為 幾天前發現了一種惡意軟件 有趣的是，它會感染 Linux 系統並使用複雜的技術來隱藏和竊取憑據。

發現此惡意軟件的人員是 黑莓研究人員，他們將其命名為“共生體”， 以前無法檢測到，它的行為是寄生的，因為它需要感染其他正在運行的進程以對受感染的機器造成損害。

共生體，於 2021 年 XNUMX 月首次被發現， 最初是針對拉丁美洲的金融部門而編寫的. 成功感染後，Symbiote 會隱藏自身和任何其他已部署的惡意軟件，從而難以檢測到感染。

惡意軟件 針對 Linux 系統並不新鮮，但 Symbiote 使用的隱秘技術使其脫穎而出。 鏈接器通過 LD_PRELOAD 指令加載惡意軟件，允許它在任何其他共享對象之前加載。 由於它首先被加載，它可以“劫持”為應用程序加載的其他庫文件的導入。 Symbiote 使用它來隱藏它在機器上的存在。

研究人員總結說：“由於惡意軟件作為用戶級 rootkit 工作，因此檢測感染可能很困難。” “網絡遙測可用於檢測異常 DNS 請求，並且必須靜態鏈接防病毒和端點檢測和響應等安全工具，以確保它們不會被用戶 rootkit '感染'。”

一旦共生體被感染 所有正在運行的進程， 提供攻擊 rootkit 功能，能夠收集憑據 和遠程訪問能力。

Symbiote 的一個有趣的技術方面是其伯克利包過濾器 (BPF) 選擇功能。 Symbiote 並不是第一個使用 BPF 的 Linux 惡意軟件。 例如，一個屬於 Equation 組的高級後門使用 BPF 進行隱蔽通信。 然而，Symbiote 使用 BPF 來隱藏受感染機器上的惡意網絡流量。

當管理員在受感染機器上啟動數據包捕獲工具時，BPF 字節碼被注入定義要捕獲的數據包的內核。 在這個過程中，Symbiote 首先添加它的字節碼，這樣它就可以過濾你不希望數據包捕獲軟件看到的網絡流量。

Symbiote 還可以使用各種技術隱藏您的網絡活動。 此封面非常適合允許惡意軟​​件獲取憑據並提供對威脅參與者的遠程訪問。

研究人員解釋了為什麼它如此難以檢測：

​​一旦惡意軟件感染了一台機器，它就會隱藏自己，以及攻擊者使用的任何其他惡意軟件，使得感染很難檢測到。 受感染機器的實時取證掃描可能不會顯示任何內容，因為惡意軟件隱藏了所有文件、進程和網絡工件。 除了 rootkit 功能之外，該惡意軟件還提供了一個後門，允許攻擊者以使用硬編碼密碼的計算機上的任何用戶身份登錄，並以最高權限執行命令。

由於它非常難以捉摸，共生體感染很可能“在雷達下飛行”。 通過我們的調查，我們沒有找到足夠的證據來確定 Symbiote 是否被用於高度針對性或大規模的攻擊。

終於 如果您有興趣了解更多信息，您可以在中查看詳細信息 以下鏈接。