Linux 恶意软件 Symbiote 共生体几乎无法被检测

来自 BlackBerry 和网络安全公司 Intezer 的安全人员监测到一款新的 Linux 恶意软件 Symbiote，病毒几乎无法检测。

两家公司的安全人员在联合博客中表示，传统 Linux 病毒必须运行后才能感染设备，但新发现的病毒已经颠覆传统。

这个 Symbiote 的病毒不是一个独立的可执行文件，而是一个共享对象 (SO) 库，可以加载到所有正在运行的进程中。

该恶意程序利用 LD_PRELOAD (T1574.006) 加载到所有的正在运行的进程中，然后成功的寄生和感染 Linux 设备。

该病毒一旦感染 Linux 系统所有正在运行的进程，就会为攻击者提供 rootkit 功能、获取凭据的能力和远程访问能力。

该病毒的刁钻之处，在于即便安全人员察觉系统已被感染而进行实时取证，很可能仍然无法察觉任何被感染的痕迹。

因为所有的文件、进程和网络工件都会被恶意软件自动隐藏，除了获取 rootkit 功能之外还会给攻击者创建一个后门。

因此，攻击者可利用该恶意软件使用硬编码密码和设备上的任何用户身份登录系统，然后以最高权限远程执行命令。

从技术角度来看， Symbiote 病毒使用berkeley 数据包过滤器 (BPF) 挂钩功能来隐藏受感染机器上的恶意网络流量。

当管理员在受感染设备上启动任何数据包捕获工具时，BPF 字节码就会被注入内核，从而定义应该捕获哪些数据包。

在此过程中， Symbiote 病毒会首先添加它的字节码，从而过滤掉它不希望数据包捕获软件能够轻易捕获的网络流量。

正是通过此方法，Symbiote 病毒就能规避识别和捕获可疑数据包，因此你能看到的信息全部都是病毒专门给你看的。

除此之外，Symbiote 病毒还能利用其他多种先进技术来隐藏活动，从而实现高效的获取凭证并为黑客提供远程访问。

两家公司的安全人员于 2021 年 11 月在拉丁美洲的各种金融机构中首次检测到恶意软件的身影，但无法确认其归属。

在经过半年的研究分析后，他们对外公布了对该病毒的攻击原理分析以及可能产生的影响并提醒相关人员注意防范。

安全人员在分析病毒样本时发现 Symbiote 和 Ebury /Windigo 或任何其他已知恶意软件之间没有发生任何共享代码。

这意味着 Symbiote 病毒是一种全新的、从未被发现的 Linux 恶意软件，其此前的行为仅限于虚假域名冒充银行网站。

不过，值得庆幸的现阶段还没有足够的证据确定 Symbiote 恶意软件被黑客组织滥用或被用于高度针对性的网络攻击。

事实上，基于 Linux 的发行版本的安全性更高已成共识，这也是为什么主流服务器环境愿意用这个系统的原因之一。

但越来越多的案例也让我们深深的明白，世界上没有任何事情是绝对的，即便已经足够安全的 Linux 也有漏洞可循。