Linux 恶意软件共生体几乎无法被检测到

admin 2022年6月13日13:53:56安全新闻评论8 views1205字阅读4分1秒阅读模式

更多全球网络安全资讯尽在邑安全

Linux 恶意软件共生体几乎无法被检测到

来自 BlackBerry 和 Intezer 的一组网络安全研究人员发现了一种新的 Linux 恶意软件,据两家公司称,这种恶意软件“几乎无法检测到”。

这种被称为“共生体”的威胁可以武器化到后门受感染系统。

“Symbiote 与我们通常遇到的其他 Linux 恶意软件的不同之处在于,它需要感染其他正在运行的进程才能对受感染的机器造成损害,”黑莓和 Intezer 在联合 博客文章中写道。

换句话说,Symbiote 不是一个独立的可执行文件(传统上必须运行才能感染机器),而是一个共享对象 (SO) 库,可以加载到所有正在运行的进程中。

研究人员写道:“一旦它感染了所有正在运行的进程,它就会为攻击者提供 rootkit 功能、获取凭据的能力和远程访问能力。”

此外,在受感染的机器上执行实时取证可能不会揭示任何感染痕迹,因为所有文件、进程和网络工件都会被恶意软件自动隐藏。

从技术角度来看,Symbiote 使用 berkeley 数据包过滤器 (BPF) 挂钩功能来隐藏受感染机器上的恶意网络流量,从而避开管理员识别和捕获可疑数据包的尝试。 

“当管理员在受感染的机器上启动任何数据包捕获工具时,BPF 字节码被注入内核,定义应该捕获哪些数据包,”该帖子写道。

“在这个过程中,Symbiote 首先添加它的字节码,这样它就可以过滤掉它不希望数据包捕获软件看到的网络流量。”

然而,研究人员表示,网络遥测可用于检测异常 DNS 请求。

该组织还警告安全社区,确保防病毒和端点检测和响应 (EDR) 等安全工具是静态链接的,以确保它们不会被用户级 rootkit“感染”。

尽管本周只发布了他们的研究,但该团队表示,它于 2021 年 11 月在拉丁美洲的各种金融机构中首次检测到该恶意软件。

这些说法是基于 Symbiote 恶意软件使用的域名冒充巴西一些主要银行的事实。

虽然黑莓和 Intezer 表示他们无法确认归属,但他们确实表示该恶意软件似乎是一个全新的威胁。

“当我们第一次使用 Intezer Analyze 分析样本时,仅检测到唯一代码 [...] 由于 Symbiote 和 Ebury /Windigo 或任何其他已知恶意软件之间没有共享代码,我们可以自信地得出结论,Symbiote 是一种新的、未被发现的 Linux恶意软件。”

原文来自: infosecurity-magazine.com

原文链接: https://www.infosecurity-magazine.com/news/linux-malware-symbiote/

欢迎收藏并分享朋友圈,让五邑人网络更安全

Linux 恶意软件共生体几乎无法被检测到

欢迎扫描关注我们,及时了解最新安全动态、学习最潮流的安全姿势!


推荐文章

1

新永恒之蓝?微软SMBv3高危漏洞(CVE-2020-0796)分析复现

2

重大漏洞预警:ubuntu最新版本存在本地提权漏洞(已有EXP) 



原文始发于微信公众号(邑安全):Linux 恶意软件共生体“几乎无法被检测到”

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年6月13日13:53:56
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  Linux 恶意软件共生体几乎无法被检测到 http://cn-sec.com/archives/1112555.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: