基于 Linux 操作系统的粉丝们经常以更高的安全性作为他们选择发行版的基础。Linux 发行版是否比 Windows 11 和 macOS 等有更好的安全记录,是因为它们本身就更安全,还是因为它们根本没有成为攻击目标,这一点值得商榷,但 Linux 仍然会出现问题。
从某种程度上证明这是 BlackBerry 和 Intezer 实验室的安全研究人员发现的 Symbiote 恶意软件。Symbiote 令人担忧的原因有很多,包括它被描述为“几乎不可能被检测到”。它也是一种极其危险的恶意软件,它“寄生性地感染”系统,感染所有正在运行的进程,并给威胁参与者提供rootkit 功能、远程访问等。
Symbiote 之所以被称为 Symbiote,是因为攻击的性质,“Symbiote”是一个生物学术语,指的是与另一种生物体共生的生物体,有时是寄生的。安全研究人员表示,Symbiote 至少从 2021 年 11 月起就存在了,似乎是为了针对金融部门而开发的。
在他们的研究结果中,研究人员谈到了这种恶意软件:
Symbiote 与我们通常遇到的其他 Linux 恶意软件的不同之处在于,它需要感染其他正在运行的进程,从而对受感染的机器造成破坏。它不是运行来感染计算机的独立可执行文件,而是一个共享对象(SO)库,使用LD_PRELOAD (T1574.006)加载到所有正在运行的进程中,并寄生感染计算机。一旦它感染了所有正在运行的进程,它就为威胁参与者提供了rootkit功能、获取凭据的能力和远程访问能力。
他们继续解释了为什么 Symbiote 如此难以检测:
一旦恶意软件感染了一台机器,它就会隐藏自己和威胁行动者使用的任何其他恶意软件,使得感染很难被发现。在受感染的机器上执行实时取证可能不会有任何结果,因为所有文件、进程和网络工件都被恶意软件隐藏了。除了 rootkit 功能之外,该恶意软件还提供了一个后门,让威胁行动者以任何用户的身份使用硬编码密码登录机器,并以最高权限执行命令。
由于共生体感染是极其回避的,它很可能“不被我们发现”。在我们的研究中,我们还没有找到足够的证据来确定共生体是被用于高针对性的攻击还是广泛的攻击。
Symbiote 的一个有趣的技术方面是它的伯克利包过滤器(BPF)挂钩功能。Symbiote 并不是第一个使用 BPF 的 Linux 恶意软件。例如,一个被认为是方程组的高级后门一直在使用 BPF 进行秘密通信。然而,Symbiote 利用 BPF 隐藏受感染机器上的恶意网络流量。
当管理员在受感染的计算机上启动任何包捕获工具时,BPF 字节码将被注入内核,用于定义应该捕获哪些包。在这个过程中,Symbiote首先添加它的字节码,这样它就可以过滤掉它不希望数据包捕获软件看到的网络流量。
Symbiote 还能够使用各种技术隐藏其网络活动。这是一个完美的掩护,允许恶意软件获取证书,并为威胁行为者提供远程访问。
完整、详细的描述可以在 BlackBerry 的博客和 Intezer 网站上的一篇文章中找到。