文章详情

短信预约-IT技能 免费直播动态提醒

请输入下面的图形验证码

提交验证

短信预约提醒成功

恶意软件Symbiote将感染Linux系统上所有正在运行的进程

2024-12-13 22:24

关注

近期,一种新发现的名为Symbiote的Linux恶意软件会感染目标系统上所有正在运行的进程,窃取帐户凭据并为其背后的操作员提供后门访问权限。据调查,该恶意软件会将自身注入所有正在运行的进程,就像是一个系统里的寄生虫,即使再细致的深入检查期间也不会留下可识别的感染迹象。它使用 BPF(柏克莱封包过滤器)挂钩功能来嗅探网络数据包并隐藏自己的通信通道以防止安全工具的检测。

BlackBerry和 Intezer Labs 的研究人员发现并分析了这种新型威胁,他们在一份详细的技术报告中揭示了该新恶意软件的详细信息。据他们介绍,Symbiote 自去年以来一直被积极开发中。

与典型的可执行文件形式不同,Symbiote是一个共享对象(SO)库,它使用LD_PRELOAD指令加载到正在运行的进程中,以获得相对于其他SOs的优先级。通过第一个加载,Symbiote可以挂钩“libc”和“libpcap”函数,并执行各种操作来隐藏它的存在,比如隐藏寄生进程、隐藏部署了恶意软件的文件等等。

安全研究人员在近期发布的一份报告中透露: “当恶意软件将自己注入程序中时,它可以选择显示哪些结果。如果管理员在受感染的机器上启动数据包捕获,以调查一些可疑的网络流量,Symbiote就会把自己注入到检查软件的过程中,并使用BPF挂钩过滤掉可能暴露其活动的结果。”为了隐藏其在受损机器上的恶意网络活动,Symbiote会清除它想要隐藏的连接条目,通过BPF进行包过滤,并移除其域名列表中的UDP traffic。

这种隐秘的新恶意软件主要通过连接“libc读取”功能从被黑的Linux设备中自动获取证书。在针对高价值网络中的Linux服务器时,这是一项至关重要的任务,因为窃取管理员帐户凭据为畅通无阻的横向移动和无限制地访问整个系统开辟了道路。Symbiote还通过PAM服务为其背后的威胁参与者提供对机器的远程SHH访问,同时它还为威胁参与者提供了一种在系统上获得 root 权限的方法。该恶意软件的目标主要是拉丁美洲从事金融行业的实体,他们会冒充巴西银行、该国联邦警察等。研究人员表示由于恶意软件作为用户级 rootkit 运行,因此在检测是否感染时就很困难。

“网络遥测技术可以用来检测异常的DNS请求,安全工具,如AVs和edr应该静态链接,以确保它们不被用户的rootkits‘感染’,”专家表示,随着大型和有价值的公司网络广泛使用这种架构,这种用于攻击Linux系统的先进和高度规避的威胁预计将在未来显著增加。

来源:FreeBuf.com内容投诉

免责声明:

① 本站未注明“稿件来源”的信息均来自网络整理。其文字、图片和音视频稿件的所属权归原作者所有。本站收集整理出于非商业性的教育和科研之目的,并不意味着本站赞同其观点或证实其内容的真实性。仅作为临时的测试数据,供内部测试之用。本站并未授权任何人以任何方式主动获取本站任何信息。

② 本站未注明“稿件来源”的临时测试数据将在测试完成后最终做删除处理。有问题或投稿请发送至: 邮箱/279061341@qq.com QQ/279061341

软考中级精品资料免费领

  • 历年真题答案解析
  • 备考技巧名师总结
  • 高频考点精准押题
  • 2024年上半年信息系统项目管理师第二批次真题及答案解析(完整版)

    难度     813人已做
    查看
  • 【考后总结】2024年5月26日信息系统项目管理师第2批次考情分析

    难度     354人已做
    查看
  • 【考后总结】2024年5月25日信息系统项目管理师第1批次考情分析

    难度     318人已做
    查看
  • 2024年上半年软考高项第一、二批次真题考点汇总(完整版)

    难度     435人已做
    查看
  • 2024年上半年系统架构设计师考试综合知识真题

    难度     224人已做
    查看

相关文章

发现更多好内容

猜你喜欢

AI推送时光机
位置:首页-资讯-后端开发
咦!没有更多了?去看看其它编程学习网 内容吧
首页课程
资料下载
问答资讯