首页
论坛
课程
招聘

研究人员新发现一种极为隐蔽的Linux恶意软件

2022-06-13 18:22

编辑:左右里


6月9日,Intezer安全研究员Joakim Kennedy与BlackBerry研究和情报团队一并发表了一篇详细的技术报告,他们在报告中声称发现了一种命名为Symbiote的新型Linux恶意软件。 


Symbiote(共生体)与一般的Linux恶意软件的不同之处在于,它需要感染其他正在运行的进程才能对受感染的设备造成损害。它不是一个直接感染设备的独立可执行文件,而是使用LD_PRELOAD(T1574.006)加载到所有正在运行的进程中的共享对象 (SO) 库,从而寄生感染设备。一旦它感染了所有正在运行的进程,攻击者就能获取rootkit功能,进行凭据收集和远程访问。


规避检测技术


Symbiote非常隐蔽。该恶意软件被设计为由链接器通过LD_PRELOAD指令加载,这就允许它在任何其他共享对象之前加载,从而可以在为应用程序加载的其他库文件中“劫持导入”。


Symbiote还通过挂钩libc和libpcap函数来隐藏它在设备上的存在痕迹。下图大致说明了该恶意软件是如何规避检测的。



Symbiote技术方面的一个有趣地方是它的伯克利数据包过滤器(BPF)挂钩功能。当管理员在受感染的设备上启动任何数据包捕获工具时,BPF 字节码将注入到内核中,以定义应捕获哪些数据包。在此过程中,Symbiote会先一步添加其字节码,以便过滤掉它不希望数据包捕获软件看到的网络流量。


Symbiote最早被发现于2021年11月,研究人员认为它可能是为了针对拉丁美洲的金融部门而编写的。当该恶意软件感染设备后,它会隐藏自身以及攻击者使用的任何其他恶意软件,这使得其很难被检测到。该技术报告的研究员们亦没有找到足够的证据来确定Symbiote是否被用于高度针对性或广泛的攻击。


研究报告链接:

https://blogs.blackberry.com/en/2022/06/symbiote-a-new-nearly-impossible-to-detect-linux-threat



资讯来源:blackberry、intezer

转载请注明出处和本文链接



每日涨知识

文件感染病毒

许多病毒感染不同类型的可执行文件,并且在操作系统试图执行这些文件时触发。对于基于Windows的系统来说,可执行文件以扩展名.exe和.com为后缀。



推荐文章++++

世界安全大会RSAC 2022焦点总览

趋势科技发现古巴勒索软件新变种

美国拆除SSNDOB地下市场

Mandiant否认遭LockBit勒索软件攻击

微软称阻止了黎巴嫩黑客组织对以色列的攻击活动

欧洲刑警组织拆除FluBot安卓恶意软件

FBI警告与乌克兰有关的网络诈骗泛滥









声明:该文观点仅代表作者本人,转载请注明来自看雪专栏
最新评论 (0)
登录后即可评论