很多 Intezer 和黑莓研究人員發布 最近 他們發現了惡意軟件 帶代號 «共生體»,其特點是用於將後門和 rootkit 注入受感染的 Linux 服務器。
這個惡意軟件 它在幾個拉丁美洲國家的金融機構系統中被發現。 Symbiote 的一個特性是作為共享庫分發,它在所有進程啟動期間使用 LD_PRELOAD 機制加載,並替換了對標準庫的一些調用。
Symbiote 與我們經常遇到的其他 Linux 惡意軟件的不同之處在於,它需要感染其他正在運行的進程才能對受感染的計算機造成損害。
它不是一個運行以感染機器的獨立可執行文件,而是一個共享對象 (OS) 庫,通過 LD_PRELOAD (T1574.006) 加載到所有正在運行的進程中並寄生地感染機器。 一旦它感染了所有正在運行的進程,它就會為威脅參與者提供 rootkit 功能、收集憑據的能力和遠程訪問能力。
為了能夠安裝共生體 在一個系統中, 攻擊者必須具有 root 訪問權限,例如,可以通過利用未修補的漏洞或帳戶黑客攻擊來獲得。 共生體e 允許攻擊者確保他在系統中的存在 在黑客進行進一步攻擊後,隱藏其他惡意應用程序的活動,並安排攔截敏感數據。
我們最早發現 Symbiote 是在 2021 年 XNUMX 月,它似乎是針對拉丁美洲的金融部門而編寫的。 一旦惡意軟件感染了一台機器,它就會隱藏自己和威脅參與者使用的任何其他惡意軟件,使得感染很難檢測到。 在受感染的機器上執行實時取證可能不會洩露任何信息,因為惡意軟件隱藏了所有文件、進程和網絡工件。 除了 rootkit 功能之外,該惡意軟件還為攻擊者提供了一個後門,可以使用硬編碼密碼以機器上的任何用戶身份登錄,並以最高權限執行命令。
欺騙性呼叫處理程序隱藏活動 與後門相關,如排除個別元素 在進程列表中,阻止訪問某些文件 在 /proc 中,隱藏目錄中的文件,從 ldd 輸出中排除惡意共享庫(攔截 execve 函數並使用 LD_TRACE_LOADED_OBJECTS 環境變量解析調用)顯示沒有與惡意活動相關的網絡套接字。
共生體 還允許繞過一些文件系統活動掃描程序,因為敏感數據盜竊可以不在打開文件的級別進行,而是通過在合法應用程序中攔截這些文件的讀取操作(例如,庫替換功能允許您攔截用戶輸入的密碼或從數據加載的文件訪問密鑰文件)。
由於它非常難以捉摸,共生體感染很可能“在雷達下飛行”。 在我們的調查中,我們沒有找到足夠的證據來確定 Symbiote 是否被用於廣泛或高度針對性的攻擊。
要組織遠程登錄, Symbiote 攔截了一些 PAM 調用 (Pluggable Authentication Module),它允許您使用某些攻擊憑據通過 SSH 連接到系統。 還有一個隱藏選項可以通過設置 HTTP_SETTHIS 環境變量將您的權限提升到 root。
為了防止流量檢查,重新定義了 libpcap 庫函數,過濾了 /proc/net/tcp 的讀取,並將附加代碼插入到加載到內核中的 BPF 程序中。
終於 如果您有興趣了解更多信息 關於注意事項,可以查閱原文中的文章 以下鏈接。