近期,一种新发现的名为Symbiote的Linux恶意软件会感染目标系统上所有正在运行的进程,窃取帐户凭据并为其背后的操作员提供后门访问权限。据调查,该恶意软件会将自身注入所有正在运行的进程,就像是一个系统里的寄生虫,即使再细致的深入检查期间也不会留下可识别的感染迹象。它使用 BPF(柏克莱封包过滤器)挂钩功能来嗅探网络数据包并隐藏自己的通信通道以防止安全工具的检测。
BlackBerry和 Intezer Labs 的研究人员发现并分析了这种新型威胁,他们在一份详细的技术报告中揭示了该新恶意软件的详细信息。据他们介绍,Symbiote 自去年以来一直被积极开发中。
与典型的可执行文件形式不同,Symbiote是一个共享对象(SO)库,它使用LD_PRELOAD指令加载到正在运行的进程中,以获得相对于其他SOs的优先级。通过第一个加载,Symbiote可以挂钩“libc”和“libpcap”函数,并执行各种操作来隐藏它的存在,比如隐藏寄生进程、隐藏部署了恶意软件的文件等等。
安全研究人员在近期发布的一份报告中透露: “当恶意软件将自己注入程序中时,它可以选择显示哪些结果。如果管理员在受感染的机器上启动数据包捕获,以调查一些可疑的网络流量,Symbiote就会把自己注入到检查软件的过程中,并使用BPF挂钩过滤掉可能暴露其活动的结果。”为了隐藏其在受损机器上的恶意网络活动,Symbiote会清除它想要隐藏的连接条目,通过BPF进行包过滤,并移除其域名列表中的UDP traffic。
这种隐秘的新恶意软件主要通过连接“libc读取”功能从被黑的Linux设备中自动获取证书。在针对高价值网络中的Linux服务器时,这是一项至关重要的任务,因为窃取管理员帐户凭据为畅通无阻的横向移动和无限制地访问整个系统开辟了道路。Symbiote还通过PAM服务为其背后的威胁参与者提供对机器的远程SHH访问,同时它还为威胁参与者提供了一种在系统上获得 root 权限的方法。该恶意软件的目标主要是拉丁美洲从事金融行业的实体,他们会冒充巴西银行、该国联邦警察等。研究人员表示由于恶意软件作为用户级 rootkit 运行,因此在检测是否感染时就很困难。
“网络遥测技术可以用来检测异常的DNS请求,安全工具,如AVs和edr应该静态链接,以确保它们不被用户的rootkits‘感染’,”专家表示,随着大型和有价值的公司网络广泛使用这种架构,这种用于攻击Linux系统的先进和高度规避的威胁预计将在未来显著增加。
