?Intezer 和 BlackBerry 的研究團(tuán)隊(duì)近期新發(fā)現(xiàn)了一種新的 Linux 惡意軟件，以一種寄生的性質(zhì)影響 Linux 操作系統(tǒng)；它會感染受感染系統(tǒng)上所有正在運(yùn)行的進(jìn)程，為威脅參與者提供 rootkit 功能、獲取憑證和遠(yuǎn)程訪問的能力。

他們將這一惡意軟件命名為 Symbiote，并描述為 “一種新的、幾乎不可能檢測到的 Linux 威脅”。Symbiote 最早被檢測到是在 2021 年 11 月，研究發(fā)現(xiàn)它似乎是針對拉丁美洲的金融部門而編寫的。

根據(jù)介紹，Symbiote 不是典型的可執(zhí)行文件形式，而是一個(gè)共享對象 (SO) 庫，使用 LD_PRELOAD 指令加載到正在運(yùn)行的進(jìn)程中，并寄生地感染機(jī)器。它利用 Berkeley Packet Filter (BPF) hooking 功能來隱藏受感染機(jī)器上的惡意網(wǎng)絡(luò)流量。

安全研究人員指出，當(dāng)它將自身注入進(jìn)程時(shí)，惡意軟件可以選擇它想要顯示的結(jié)果。“如果管理員在受感染的機(jī)器上啟動數(shù)據(jù)包捕獲以調(diào)查一些可疑的網(wǎng)絡(luò)流量，Symbiote 會將自己注入到檢查軟件的進(jìn)程中，并使用 BPF hooking 來過濾出可能揭示其活動的結(jié)果”。

Symbiote 可以 hooking “l(fā)ibc” 和 “l(fā)ibpcap”函數(shù)并執(zhí)行各種操作來隱藏其存在，例如隱藏寄生進(jìn)程、隱藏與惡意軟件一起部署的文件等等。為了隱藏受感染機(jī)器上的惡意網(wǎng)絡(luò)活動，Symbiote會清理它想要隱藏的連接條目，通過 BPF 執(zhí)行數(shù)據(jù)包過濾，并刪除到其列表中域名的 UDP 流量。

除了隱藏自己在機(jī)器上的存在外，Symbiote 惡意軟件還會隱藏與可能與其一起部署的惡意軟件相關(guān)的其他文件。

研究人員總結(jié)稱，Symbiote 是一種具有高度規(guī)避性的惡意軟件。它的主要目標(biāo)是捕獲憑據(jù)并促進(jìn)對受感染機(jī)器的后門訪問。由于惡意軟件作為用戶級 rootkit 運(yùn)行，因此檢測感染可能很困難。網(wǎng)絡(luò)遙測可用于檢測異常 DNS 請求，并且應(yīng)靜態(tài)鏈接 AV 和 EDR 等安全工具，以確保它們不會被用戶級 rootkit “感染”。?