络安全研究人员揭开了他们所谓的“几乎不可能检测到”的 Linux 恶意软件的面纱,这种软件可以被武器化,用于后门受感染的系统。
这种被威胁情 公司 BlackBerry 和 Intezer 称为“共生体”(Symbiote)的隐形恶意软件之所以得名,是因为它能够将自己隐藏在正在运行的进程和 络流量中,像寄生虫一样耗尽受害者的资源。
Symbiote 背后的运营商被认为已经在2021年11月开始恶意软件的开发,威胁者主要使用它来瞄准拉丁美洲的金融部门,包括巴西银行和 Caixa 银行。
研究人员 Joakim Kennedy 和 Ismael Valenzuela 在与《黑客新闻》分享的一份 告中说: “ Symbiote 的主要目标是获取证书,并为进入受害者的机器提供便利。”“ Symbiote 与其他 Linux 恶意软件的不同之处在于,它感染正在运行的进程,而不是使用独立的可执行文件造成损害。”
它通过利用一个名为 LD _ PRELOAD 的本地 Linux 特性来实现这一点,LD _ PRELOAD 是之前被 Pro-Ocean 和 Facefish 等恶意软件使用的一种方法,通过动态链接器将其加载到所有正在运行的进程中,并感染主机。
除了在文件系统中隐藏自己的存在,Symbiote 还可以利用扩展 BPF (eBPF)功能来隐藏自己的 络流量。这是通过将自己注入到一个检查软件的过程中,并使用 BPF 过滤出可以揭示其活动的结果来实现的。
在劫持所有正在运行的进程时,Symbiote 使 rootkit 功能能够进一步隐藏其存在的证据,并为威胁参与者提供一个后门以登录到机器并执行特权命令。还观察到它将捕获的凭据存储在伪装为 C 头文件的加密文件中。
这已经不是第一次在野外发现具有类似功能的恶意软件了。2014年2月,ESET 公布了一个名为 Ebury 的 Linux 后门程序,该程序旨在窃取 OpenSSH 凭证,并保持对一个受损服务器的访问。
此外,这次披露发生在一个月前,一种叫做 BPFDoor 的基于 Linux 的被动植入技术的细节被披露出来,该技术加载了一个 BPF (bPF)嗅探器来监控 络流量,并在绕过防火墙保护的同时启动一个绑定 shell。
研究人员总结说: 由于恶意软件作为一个用户地面级别的 rootkit,检测感染可能是困难的。” 络遥测可以用来检测异常的 DNS 请求,安全工具如 AVs 和 EDR 应该静态链接,以确保它们不会被用户端 rootkit‘感染’。
声明:本站部分文章及图片源自用户投稿,如本站任何资料有侵权请您尽早请联系jinwei@zod.com.cn进行处理,非常感谢!