Intezer和黑莓的研究团队最近发现了一种新型Linux恶意软件,它以寄生的方式影响Linux操作系统;它感染感染系统上所有正在运行的进程,为威胁参与者提供Rootkit功能、获取凭据和远程访问的能力。他们将该恶意软件命名为Symbiote,并将其描述为“一种新的、几乎无法检测到的Linux威胁”。Symbiote于2021年11月首次被发现,研究发现它似乎是针对拉丁美洲的金融部门而编写的。据介绍,Symbiote并不是典型的可执行文件形式,而是一个共享对象(SO)库,使用LD_PRELOAD指令加载到正在运行的进程中,寄生感染机器。它利用BerkeleyPacketFilter(BPF)挂钩功能来隐藏受感染机器上的恶意网络流量。安全研究人员指出,当它将自己注入一个进程时,恶意软件可以选择它想要显示的结果。“如果管理员在受感染的机器上启动数据包捕获以调查一些可疑的网络流量,Symbiote会将自己注入检查软件的进程并使用BPF挂钩来过滤掉可能揭示其活动的结果”。Symbiote可以挂钩“libc”和“libpcap”函数并执行各种操作来隐藏它们的存在,例如隐藏寄生进程、隐藏部署有恶意软件的文件等。为了隐藏受感染机器上的恶意网络活动,Symbiote清理它想要隐藏的连接条目,通过BPF执行数据包过滤,并将UDP流量丢弃到其列表中的域。除了在机器上隐藏自己的存在之外,Symbiote恶意软件还会隐藏与可能与其一起部署的恶意软件相关的其他文件。研究人员得出结论,Symbiote是一种高度规避的恶意软件。它的主要目标是捕获凭据并促进对受感染机器的后门访问。检测感染可能很困难,因为恶意软件作为用户级Rootkit运行。网络遥测可用于检测异常DNS请求,AV和EDR等安全工具应静态链接,以确保它们不会被用户级Rootkit“感染”。
