在主流概念中,基於 Linux 的發行版本安全性要高於 Windows 和 macOS,這固然是因為它的主流程度不及后兩者,更重要的原因在於它本身就足夠安全。但這並不意味着沒有針對 Linux 的惡意軟件,黑莓和 Intezer Labs 的研究團隊近日就發現了 Symbiote 惡意軟件。
Symbiote 的破壞力令人擔憂,它被描述為“幾乎不可能被檢測到”。它也是一種極其危險的惡意軟件,它“寄生感染”系統,感染所有正在運行的進程,並為威脅參與者提供 rootkit 功能、遠程訪問等。
“symbiote”(共生體)是一個生物學術語,它與另一種生物體共生或者寄生。而 Symbiote 惡意軟件也有這樣的特性,它最早在 2021 年 11 月就被發現,似乎是針對金融部門特別開發的。
關於 Symbiote 惡意軟件,安全研究人員表示
Symbiote 與我們通常遇到的其他 Linux 惡意軟件的不同之處在於,它需要感染其他正在運行的進程才能對受感染的機器造成損害。它不是一個運行以感染機器的獨立可執行文件,而是一個共享對象 (SO) 庫,它使用 LD_PRELOAD (T1574.006) 加載到所有正在運行的進程中,並寄生地感染機器。一旦它感染了所有正在運行的進程,它就會為威脅參與者提供 rootkit 功能、獲取憑證的能力和遠程訪問能力。
安全專家繼續解釋為何 Symbiote 惡意軟件很難被發現:
一旦惡意軟件感染了一台機器,它就會隱藏自己和威脅參與者使用的任何其他惡意軟件,使得感染很難被發現。由於惡意軟件隱藏了所有文件、進程和網絡工件,因此在受感染的機器上執行實時取證可能不會發現任何問題。
除了 rootkit 功能之外,該惡意軟件還為攻擊者提供了一個後門,讓攻擊者可以使用硬編碼密碼以機器上的任何用戶身份登錄,並以最高權限執行命令。
由於它非常隱蔽,共生體感染很可能“在掃描下執行”。在我們的研究中,我們還沒有找到足夠的證據來確定 Symbiote 是否被用於高度針對性或廣泛的攻擊。
當管理員在受感染的機器上啟動任何數據包捕獲工具時,BPF 字節碼被注入內核,定義應該捕獲哪些數據包。在這個過程中,Symbiote 首先添加它的字節碼,這樣它就可以過濾掉它不希望數據包捕獲軟件看到的網絡流量。
Symbiote 還能夠使用多種技術隱藏其網絡活動。這是允許惡意軟件獲取憑據並為威脅參與者提供遠程訪問的完美掩護。