恶意软件Symbiote将感染Linux系统管理员上所有正在运行的进程以提供后门访问。根据调查,该恶意软件像系统中的寄生虫一样将自身注入所有正在运行的进程中,即使在仔细深入的检查中也没有留下可识别的感染迹象。它使用BPF(Berkeley数据包过滤器)挂钩来嗅探网络数据包并隐藏其通信通道以防止安全工具检测到。发现并分析了新威胁的黑莓和IntezerLabs研究人员在详细的技术报告中披露了新恶意软件的详细信息。据他们介绍,自去年以来,Symbiote一直在积极开发中。与典型的可执行形式不同,Symbiote是一个共享对象(SO)库,它使用LD_PRELOAD指令加载到正在运行的进程中,以获得相对于其他SO的优先级。在第一次加载时,Symbiote可以挂钩“libc”和“libpcap”函数并执行各种操作来隐藏其存在,例如隐藏寄生进程、隐藏部署恶意软件的文件等。“当恶意软件将自己注入程序时,它可以选择显示哪些结果。如果管理员在受感染的机器上开始数据包捕获以调查一些可疑的网络流量,Symbiote会将自己注入到检查软件的过程中并使用BPF挂钩来过滤出可能揭示其活动的结果。”为了隐藏其在受感染机器上的恶意网络活动,Symbiote清理了的连接条目,通过BPF执行数据包过滤,并从其域名列表中删除UDP流量。这种隐蔽的新恶意软件主要通过链接“libc读取”功能。当以高价值网络中的Linux服务器为目标时,这是一项关键任务,因为窃取管理员帐户凭据为畅通无阻的横向移动和不受限制地访问整个系统开辟了道路。Symbiote还为其背后的威胁参与者提供远程SHH通过PAM服务访问机器,同时它也为威胁行为者提供了一种在系统上获得root权限的方法。该恶意软件主要针对拉丁美洲金融行业的实体,冒充巴西银行、该国联邦警察等.研究人员表示,由于该恶意软件以用户级Rootkit的形式运行,因此很难检测到感染。“网络遥测可用于检测异常的DNS请求,AV和EDR等安全工具应该静态链接,以确保它们不会被用户的rootkit‘感染’,”专家说,因为大型和有价值的企业网络分布广泛宽的。使用这种架构,这种用于攻击Linux系统的高级且高度规避的威胁预计在未来会显着增加。
