Symbiote Linux 恶意软件在雷达下飞行
BlackBerry Threat Research 的安全专家发表了一篇关于一种名为 Symbiote 的新型 Linux 恶意软件的联合研究文章。
该恶意软件于 2022 年初首次被发现。它的主要亮点在于检测的难度——该团队称 Symbiote“几乎不可能”在系统上检测到。
Symbiote 的功能类似于目标系统上的共享对象库,而大多数 Linux 恶意软件会试图破坏已经运行的进程。相反,Symbiote 使用 VIA_PRELOAD 加载到受害系统上所有正在运行的进程上。
一旦完全部署,Symbiote 将为其运营商提供 rootkit 功能。该恶意软件利用 Berkeley Packet Filter 挂钩,这使其能够掩盖受感染系统上的恶意数据包流量。研捕获。
Symbiote 保持非常低调,在系统上所有其他共享对象之前被预加载,这使其保持隐藏状态。它还可以从受感染的系统中获取凭据。
Symbiote 恶意软件最早发现的样本可以追溯到 2021 年底,很可能被用来针对南美的银行机构。
June 10, 2022
