恶意软件Symbiote将感染Linux系统上所有正在运行的进程

近期 ，恶意一种新发现的软件染名为Symbiote的Linux恶意软件会感染目标系统上所有正在运行的进程 
，窃取帐户凭据并为其背后的将感操作员提供后门访问权限 。据调查，系统该恶意软件会将自身注入所有正在运行的有正运行进程 ，就像是恶意一个系统里的寄生虫 ，即使再细致的软件染深入检查期间也不会留下可识别的感染迹象。它使用 BPF（柏克莱封包过滤器）挂钩功能来嗅探网络数据包并隐藏自己的建站模板将感通信通道以防止安全工具的检测。

BlackBerry和 Intezer Labs 的系统研究人员发现并分析了这种新型威胁 ，他们在一份详细的有正运行技术报告中揭示了该新恶意软件的详细信息  。据他们介绍，恶意Symbiote 自去年以来一直被积极开发中。软件染

与典型的将感可执行文件形式不同，Symbiote是系统一个共享对象(SO)库 ，它使用LD_PRELOAD指令加载到正在运行的有正运行进程中，以获得相对于其他SOs的模板下载优先级。通过第一个加载 ，Symbiote可以挂钩“libc”和“libpcap”函数，并执行各种操作来隐藏它的存在，比如隐藏寄生进程、隐藏部署了恶意软件的文件等等。

安全研究人员在近期发布的一份报告中透露： “当恶意软件将自己注入程序中时，它可以选择显示哪些结果。如果管理员在受感染的机器上启动数据包捕获，以调查一些可疑的网络流量 ，Symbiote就会把自己注入到检查软件的香港云服务器过程中，并使用BPF挂钩过滤掉可能暴露其活动的结果 。”为了隐藏其在受损机器上的恶意网络活动，Symbiote会清除它想要隐藏的连接条目
，通过BPF进行包过滤，并移除其域名列表中的UDP traffic 。

这种隐秘的新恶意软件主要通过连接“libc读取”功能从被黑的Linux设备中自动获取证书 。在针对高价值网络中的Linux服务器时，这是服务器租用一项至关重要的任务，因为窃取管理员帐户凭据为畅通无阻的横向移动和无限制地访问整个系统开辟了道路
。Symbiote还通过PAM服务为其背后的威胁参与者提供对机器的远程SHH访问 ，同时它还为威胁参与者提供了一种在系统上获得 root 权限的方法  。该恶意软件的目标主要是拉丁美洲从事金融行业的实体 ，他们会冒充巴西银行、该国联邦警察等 。研究人员表示由于恶意软件作为用户级 rootkit 运行，亿华云因此在检测是否感染时就很困难。

“网络遥测技术可以用来检测异常的DNS请求，安全工具，如AVs和edr应该静态链接 ，以确保它们不被用户的rootkits‘感染’，”专家表示，随着大型和有价值的公司网络广泛使用这种架构，这种用于攻击Linux系统的先进和高度规避的威胁预计将在未来显著增加。