Linux 恶意软件共生体几乎无法被检测到

来自 BlackBerry 和 Intezer 的一组网络安全研究人员发现了一种新的 Linux 恶意软件，据两家公司称，这种恶意软件“几乎无法检测到”。

这种被称为“共生体”的威胁可以武器化到后门受感染系统。

“Symbiote 与我们通常遇到的其他 Linux 恶意软件的不同之处在于，它需要感染其他正在运行的进程才能对受感染的机器造成损害，”黑莓和 Intezer 在联合 博客文章中写道。

换句话说，Symbiote 不是一个独立的可执行文件（传统上必须运行才能感染机器），而是一个共享对象 (SO) 库，可以加载到所有正在运行的进程中。

研究人员写道：“一旦它感染了所有正在运行的进程，它就会为攻击者提供 rootkit 功能、获取凭据的能力和远程访问能力。”

此外，在受感染的机器上执行实时取证可能不会揭示任何感染痕迹，因为所有文件、进程和网络工件都会被恶意软件自动隐藏。

从技术角度来看，Symbiote 使用 berkeley 数据包过滤器 (BPF) 挂钩功能来隐藏受感染机器上的恶意网络流量，从而避开管理员识别和捕获可疑数据包的尝试。 

“当管理员在受感染的机器上启动任何数据包捕获工具时，BPF 字节码被注入内核，定义应该捕获哪些数据包，”该帖子写道。

“在这个过程中，Symbiote 首先添加它的字节码，这样它就可以过滤掉它不希望数据包捕获软件看到的网络流量。”

然而，研究人员表示，网络遥测可用于检测异常 DNS 请求。

该组织还警告安全社区，确保防病毒和端点检测和响应 (EDR) 等安全工具是静态链接的，以确保它们不会被用户级 rootkit“感染”。

尽管本周只发布了他们的研究，但该团队表示，它于 2021 年 11 月在拉丁美洲的各种金融机构中首次检测到该恶意软件。

这些说法是基于 Symbiote 恶意软件使用的域名冒充巴西一些主要银行的事实。

虽然黑莓和 Intezer 表示他们无法确认归属，但他们确实表示该恶意软件似乎是一个全新的威胁。

“当我们第一次使用 Intezer Analyze 分析样本时，仅检测到唯一代码 [...] 由于 Symbiote 和 Ebury /Windigo 或任何其他已知恶意软件之间没有共享代码，我们可以自信地得出结论，Symbiote 是一种新的、未被发现的 Linux恶意软件。”

原文来自: infosecurity-magazine.com