针对 Linux 的新型恶意软件 Symbiote：几乎不可能被检测到

​Intezer 和 BlackBerry 的研究团队近期新发现了一种新的 Linux 恶意软件，以一种寄生的性质影响 Linux 操作系统；它会感染受感染系统上所有正在运行的进程，为威胁参与者提供 rootkit 功能、获取凭证和远程访问的能力。

成都创新互联于2013年创立，是专业互联网技术服务公司，拥有项目成都网站设计、网站建设网站策划，项目实施与项目整合能力。我们以让每一个梦想脱颖而出为使命，1280元依安做网站,已为上家服务,为依安各地企业和个人服务,联系电话:028-86922220

他们将这一恶意软件命名为 Symbiote，并描述为 “一种新的、几乎不可能检测到的 Linux 威胁”。Symbiote 最早被检测到是在 2021 年 11 月，研究发现它似乎是针对拉丁美洲的金融部门而编写的。

根据介绍，Symbiote 不是典型的可执行文件形式，而是一个共享对象 (SO) 库，使用 LD_PRELOAD 指令加载到正在运行的进程中，并寄生地感染机器。它利用 Berkeley Packet Filter (BPF) hooking 功能来隐藏受感染机器上的恶意网络流量。

安全研究人员指出，当它将自身注入进程时，恶意软件可以选择它想要显示的结果。“如果管理员在受感染的机器上启动数据包捕获以调查一些可疑的网络流量，Symbiote 会将自己注入到检查软件的进程中，并使用 BPF hooking 来过滤出可能揭示其活动的结果”。

Symbiote 可以 hooking “libc” 和 “libpcap”函数并执行各种操作来隐藏其存在，例如隐藏寄生进程、隐藏与恶意软件一起部署的文件等等。为了隐藏受感染机器上的恶意网络活动，Symbiote会清理它想要隐藏的连接条目，通过 BPF 执行数据包过滤，并删除到其列表中域名的 UDP 流量。

除了隐藏自己在机器上的存在外，Symbiote 恶意软件还会隐藏与可能与其一起部署的恶意软件相关的其他文件。

研究人员总结称，Symbiote 是一种具有高度规避性的恶意软件。它的主要目标是捕获凭据并促进对受感染机器的后门访问。由于恶意软件作为用户级 rootkit 运行，因此检测感染可能很困难。网络遥测可用于检测异常 DNS 请求，并且应静态链接 AV 和 EDR 等安全工具，以确保它们不会被用户级 rootkit “感染”。​

网站栏目：针对 Linux 的新型恶意软件 Symbiote：几乎不可能被检测到
文章URL：http://www.shufengxianlan.com/qtweb/news45/156545.html

网站建设、网络推广公司-创新互联，是专注品牌与效果的网站制作，网络营销seo公司；服务项目有等

广告

声明：本网站发布的内容（图片、视频和文字）以用户投稿、用户转载内容为主，如果涉及侵权请尽快告知，我们将会在第一时间删除。文章观点不代表本网站立场，如需处理请联系客服。电话：028-86922220；邮箱：631063699@qq.com。内容未经允许不得转载，或转载时需注明来源： 创新互联