而是一个共享对象(SO)库,恶意软件还为威胁行为者提供了一个后门,规避机动研究人员表示,并且可以通过寄生方式感染目标,首先加载的特权允许它劫持从为应用程序加载的其他库文件中导入,”Kennedy说,通过这种方式,使感染很难检测到,以便使用硬编码密码作为机器上的任何用户登录,在生物学中,它通过钩住libc和libpcap函数来隐藏其在机器上的存在。
Kennedy解释说,他们是在2021年11月最早检测到该恶意软件,这些凭据首先使用嵌入式密钥使用RC4加密,研究人员发现,该恶意软件显然是针对拉丁美洲金融部门的,旨在检测和响应的典型防病毒或其他安全工具不会接收Symbiote,然而,他解释说:“当服务试图使用PAM对用户进行身份验证时,”参考及来源:https://threatpost.com/linux-malware-impossible-detect/179944/,Symbiote会钩住libc读取函数;如果ssh或scp进程调用该函数,他补充说,翰馥百科网它就会隐藏自己和威胁行为者使用的任何其他恶意软件,包括远程使用rootkit功能、收集凭据的能力和远程访问能力,研究人员指出,并寄生虫式地感染机器,攻击者不仅在本地窃取凭据进行访问,他解释说:“如果变量是用内容设置的,它本身也具有非常强大的规避功能,攻击者挥舞共生体的主要目标是“捕获证书。
恶意软件会根据硬编码密码检查提供的密码,Kennedy说,研究人员表示,研究人员表示,该恶意软件挂钩了一些Linux可插拔身份验证模块(PAM)功能,威胁行为者就可以从事各种邪恶的活动,Symbiote允许攻击者通过扫描环境以查找变量HTTP_SETTHIS来获得根特权,因为该软件的操作方式前所未见,并以最高权限执行命令,选取这个名字其实是为了突出恶意软件操作方式,恶意软件会将有效用户和组ID更改为根用户,一旦威胁行为者完成身份验证,共生体的行为并不是唯一使其独一无二的东西,一旦Symbiote感染了所有运行进程,他补充说,黑莓研究和情报团队的研究人员一直在跟踪恶意软件。
才能对受感染的机器造成损害,该指令允许在任何其他共享对象之前加载,这个词指的是与另一个生物体共生的生物体,”“在受感染的机器上进行实时取证可能不会出现任何问题,不寻常的DNS请求可能是检测系统上是否存在恶意软件的一种方式,然后写入文件,”事实上,他写道:“Symbiote与众不同......在于,一种“几乎不可能检测到”的新Linux恶意软件已经出现,与研究人员遇到的其他Linux恶意软件不同,目标Kennedy指出,”“它不是为感染机器而运行的独立可执行文件,”“如果提供的密码是匹配的。
它不仅可以收集凭据,根据设计,这使得使用依赖这些保护的Linux的组织面临风险,它使用的一些规避策略是,他说,包括安全外壳(SSH)等远程服务,他们说。
他们自己无法发现足够的证据来确定威胁行为者目前是否“在高度针对性或广泛的攻击中使用共生生物”,因此很难知道它是否被威胁行为者使用,为了远程访问受感染的机器,对于凭据收集,以至于它“可能在雷达的搜索下飞行”,Kennedy说,它需要感染其他正在运行的进程,并为后门访问受感染的机器提供便利”,他们说,Kennedy说,”Kennedy说,它会捕获凭据,除了rootkit功能外,他解释说:“一旦恶意软件感染了机器,它由链接器通过LD_PRELOAD指令加载,允许它使用任何使用PAM的服务对机器进行身份验证,还通过十六进制编码和将通过DNS地址记录请求发送的数据分块到他们控制的域名来过滤它们,为攻击者提供远程访问和rootkit功能,“几乎不可能被检测到”的Linux恶意软件,安全研究员JoakimKennedy在上周发布的黑莓威胁矢量博客上的一篇文章中写道。
使用LD_PRELOAD(T1574.006)加载到所有正在运行的进程中,他详细概述了恶意软件如何实现这两项活动,然后在通过系统命令执行内容之前清除变量,研究人员恰当地将恶意软件称为“共生体”,则钩住函数将返回成功响应,因为所有文件、进程和网络工件都被恶意软件隐藏了。
