Symbiote-Linux-Malware fliegt unter dem Radar

Sicherheitsexperten von BlackBerry Threat Research veröffentlichten einen gemeinsamen Forschungsbeitrag zu einem neuen Stamm von Linux-Malware namens Symbiote.

Die Malware wurde erstmals Anfang 2022 entdeckt. Das wichtigste Highlight ist, wie schwer sie zu erkennen ist – das Team nennt Symbiote „fast unmöglich“, auf einem System zu erkennen.

Symbiote funktioniert wie eine gemeinsam genutzte Objektbibliothek auf dem Zielsystem, im Gegensatz zu den meisten Linux-Malware, die versuchen, bereits laufende Prozesse zu kompromittieren. Stattdessen wird Symbiote mit VIA_PRELOAD auf alle laufenden Prozesse auf dem Opfersystem geladen.

Nach der vollständigen Bereitstellung bietet Symbiote seinen Betreibern Rootkit-Funktionen. Die Malware nutzt Berkeley Packet Filter Hooking, wodurch bösartiger Paketverkehr auf einem infizierten System maskiert werden kann. Die Forscher erklärten, dass Symbiote, wenn ein Systemadministrator versucht, ein Paketerfassungs- und Überwachungstool zu verwenden, um nach böswilligen Aktivitäten zu suchen, Berkeley Packet Filter-Bytecode einschleusen würde, der dem Kernel mitteilt, welche Pakete erfasst werden sollen, sodass die Malware bestimmen kann, welcher Datenverkehr darin angezeigt wird Erfassung.

Symbiote bleibt sehr unauffällig und wird vor allen anderen gemeinsam genutzten Objekten auf dem System vorgeladen, wodurch es verborgen bleiben kann. Es kann auch Anmeldeinformationen von den kompromittierten Systemen sammeln.

Die früheste entdeckte Probe der Symbiote-Malware stammt aus dem Ende des Jahres 2021 und wurde wahrscheinlich verwendet, um Bankinstitute in Südamerika anzugreifen.