编辑：左右里

6月9日，Intezer安全研究员Joakim Kennedy与BlackBerry研究和情报团队一并发表了一篇详细的技术报告，他们在报告中声称发现了一种命名为Symbiote的新型Linux恶意软件。 

Symbiote（共生体）与一般的Linux恶意软件的不同之处在于，它需要感染其他正在运行的进程才能对受感染的设备造成损害。它不是一个直接感染设备的独立可执行文件，而是使用LD_PRELOAD（T1574.006）加载到所有正在运行的进程中的共享对象 （SO） 库，从而寄生感染设备。一旦它感染了所有正在运行的进程，攻击者就能获取rootkit功能，进行凭据收集和远程访问。

规避检测技术

Symbiote非常隐蔽。该恶意软件被设计为由链接器通过LD_PRELOAD指令加载，这就允许它在任何其他共享对象之前加载，从而可以在为应用程序加载的其他库文件中“劫持导入”。

Symbiote还通过挂钩libc和libpcap函数来隐藏它在设备上的存在痕迹。下图大致说明了该恶意软件是如何规避检测的。

Symbiote技术方面的一个有趣地方是它的伯克利数据包过滤器（BPF）挂钩功能。当管理员在受感染的设备上启动任何数据包捕获工具时，BPF 字节码将注入到内核中，以定义应捕获哪些数据包。在此过程中，Symbiote会先一步添加其字节码，以便过滤掉它不希望数据包捕获软件看到的网络流量。

Symbiote最早被发现于2021年11月，研究人员认为它可能是为了针对拉丁美洲的金融部门而编写的。当该恶意软件感染设备后，它会隐藏自身以及攻击者使用的任何其他恶意软件，这使得其很难被检测到。该技术报告的研究员们亦没有找到足够的证据来确定Symbiote是否被用于高度针对性或广泛的攻击。

研究报告链接：

https://blogs.blackberry.com/en/2022/06/symbiote-a-new-nearly-impossible-to-detect-linux-threat

资讯来源：blackberry、intezer

转载请注明出处和本文链接

每日涨知识

文件感染病毒

许多病毒感染不同类型的可执行文件，并且在操作系统试图执行这些文件时触发。对于基于Windows的系统来说，可执行文件以扩展名.exe和.com为后缀。

推荐文章++++

* 世界安全大会RSAC 2022焦点总览

* 趋势科技发现古巴勒索软件新变种

* 美国拆除SSNDOB地下市场

* Mandiant否认遭LockBit勒索软件攻击

* 微软称阻止了黎巴嫩黑客组织对以色列的攻击活动

* 欧洲刑警组织拆除FluBot安卓恶意软件

* FBI警告与乌克兰有关的网络诈骗泛滥

﹀

﹀

﹀