针对 Linux 的新型恶意软件 Symbiote:几乎不可能被检测到


Intezer 和 BlackBerry 的研究团队近期新发现了一种新的 Linux 恶意软件,以一种寄生的性质影响 Linux 操作系统;它会感染受感染系统上所有正在运行的进程,为威胁参与者提供 rootkit 功能、获取凭证和远程访问的能力。

他们将这一恶意软件命名为 Symbiote,并描述为“一种新的、几乎不可能检测到的 Linux 威胁”。Symbiote 最早被检测到是在 2021 年 11 月,研究发现它似乎是针对拉丁美洲的金融部门而编写的。

根据介绍,Symbiote 不是典型的可执行文件形式,而是一个共享对象 (SO) 库,使用 LD_PRELOAD 指令加载到正在运行的进程中,并寄生地感染机器。它利用 Berkeley Packet Filter (BPF) hooking 功能来隐藏受感染机器上的恶意网络流量。

安全研究人员指出,当它将自身注入进程时,恶意软件可以选择它想要显示的结果。“如果管理员在受感染的机器上启动数据包捕获以调查一些可疑的网络流量,Symbiote 会将自己注入到检查软件的进程中,并使用 BPF hooking 来过滤出可能揭示其活动的结果”。

Symbiote 可以 hooking “libc”和“libpcap”函数并执行各种操作来隐藏其存在,例如隐藏寄生进程、隐藏与恶意软件一起部署的文件等等。为了隐藏受感染机器上的恶意网络活动,Symbiote 会清理它想要隐藏的连接条目,通过 BPF 执行数据包过滤,并删除到其列表中域名的 UDP 流量。

除了隐藏自己在机器上的存在外,Symbiote 恶意软件还会隐藏与可能与其一起部署的恶意软件相关的其他文件。

研究人员总结称,Symbiote 是一种具有高度规避性的恶意软件。它的主要目标是捕获凭据并促进对受感染机器的后门访问。由于恶意软件作为用户级 rootkit 运行,因此检测感染可能很困难。网络遥测可用于检测异常 DNS 请求,并且应静态链接 AV 和 EDR等安全工具,以确保它们不会被用户级 rootkit“感染”。

详情可查看官方公告。


相關推薦

2022-12-10

被称为 Zerobot 的僵尸网络包含多个模块,包括自我复制、针对不同协议的攻击和自我传播;还使用 WebSocket 协议与其命令和控制服务器通信。它主要针对 Linux 操作系统,以控制易受攻击的设备。 根据介绍,Zerobot 的目的是将受

2024-07-30

针对近期有“史上最严重IT事故”之称的 Windows 全球大面积蓝屏死机问题,两个直接当事方——微软和 CrowdStrike 均已发布了相关技术报告。 7 月 24 日,CrowdStrike 发布 Windows 大范围蓝屏事件初步审查报告,并表示即将在公开发布

2022-11-03

加了 74%,1 月份达到 200 万;而欧洲则下降了 19%。 至于针对的行业,每个行业的攻击量都出现了三位数的增长。金融增长了 151%,医疗保健增长了 123%,零售增长了 122%,政府增长了 114%,教育增长了 110%。 2021 年和 2022 年全球

2022-01-19

持。安全公司 CrowdStrike 在最新发布的一份报告中指出,针对通常部署在物联网 (IoT) 设备中的基于 Linux 的操作系统的恶意软件在 2021 年比 2020 年增加了 35%,前三大恶意软件家族在 2021 年占所有基于 Linux 的 IoT 恶意软件的 22%。

2023-10-09

是首次记录到ZeroFont网络钓鱼技术以这种方式的使用。【针对 Microsoft 365 的钓鱼即服务平台 Greatness - FreeBuf网络安全行业门户】 3. 谷歌为攻击中利用的libwebp漏洞分配了新的最高CVE编号 谷歌已经为最近被攻击利用的libwebp安全漏洞

2023-01-03

的恶意软件绝对数量不低,但考虑到 Windows 本来就容易被针对,以及放到 Windows 历年的所有恶意软件数量中去看,2022 年总体增长还是比较稳定的。Windows 恶意软件的主要类型是可执行文件,占所有恶意软件的 90% 以上(上图 2)

2022-11-27

理论上的风险。研究发现的恶意行为者采用的方法是专门针对云和容器工作负载的,部署此类工作负载的组织应确保他们制定了适当的预防性和检测性安全控制措施,能够减轻针对云的攻击。 此外,从 2022 年的统计数据来看,

2023-04-18

n 的 McAfee 移动研究团队发现了一种名为 Goldoson 的新型 Android 恶意软件。该恶意软件收集可以收集有关已安装应用程序、WiFi 和蓝牙连接设备以及用户 GPS 位置的数据,还可以在未经用户同意的情况下通过点击后台广告来

2022-09-06

含 Microsoft 动态数据交换 (DDE) 漏洞的 Microsoft Word 文档来针对讲波斯语的代码开发人员。 CodeRAT 支持大约 50 种与文件、进程操作和屏幕捕获、剪贴板、文件和环境信息的窃取功能相关的不同命令,还支持用于升级或安装其他恶意

2024-10-10

微软已经宣布开源一种名为 Drasi 的新型数据处理系统,可以检测并应对复杂系统的变化,简化在复杂基础设施中检测关键事件并根据业务目标立即采取行动的过程。 “开发人员和软件架构师可以在事件驱动场景中利用其功能,

2022-03-31

们已观察到不少于 218 个恶意 NPM 包。检查后发现这都是针对 Azure 开发人员的新的大规模供应链攻击,攻击者采用了一个自动脚本来创建账户并上传覆盖整个 scope 的恶意软件包,旨在窃取个人身份信息。 除了针对  scope 外,

2022-04-06

如,如果example.com/cmd/devtoolx在 macOS 上构建和执行,那么针对 Windows 的依赖或example.com/cmd/othertool的依赖就不可能危害到你的机器。 在 Go 中,不为特定构建提供代码的 module 对于构建没有安全影响。 “复制胜于依赖” 最后一项

2022-04-12

谷歌宣布了针对 Android 应用程序开发人员的几项关键策略变更,以提高用户、Google Play 和该服务提供的应用的安全性。将在 2022 年 5 月 11 日至 11 月 1 日之间生效,给开发者足够的时间来适应新的变化。 根据 BleepingComputer 介绍

2022-08-09

rsync < 3.2.5 存在路径校验不严漏洞(CVE-2022-29154)。 针对NPM、Python仓库,共监测到 5 次投毒事件,涉及 131 个不同版本的NPM、Python组件,投毒组件中绝大多数行为是尝试获取主机敏感信息。 重要安全漏洞列表