就在昨天,我们发表了一篇文章,其中我们报告说他们有 修复了 GRUB 中的 7 个漏洞 Linux 的。 而是我们不习惯或完全错误:Linux 中当然存在安全漏洞和病毒,如 Windows、macOS 甚至 iOS/iPadOS 中存在的最封闭的系统。 完美的系统并不存在,尽管有些系统更安全,但我们的部分安全性是由于我们使用的操作系统市场份额很小。 但很少不是零,恶意开发人员知道这一点,比如那些创建了 共生体.
上周四是黑莓 拉响了警报,尽管当他试图解释威胁的名称时,他的开头并不好。 它说共生体是一种与另一种生物共生的生物。 到目前为止,我们做得很好。 不好的是当他说有时共生体可以 寄生 当它对另一个有利和有害,但不是,或者一个或另一个:如果两者都受益,就像鲨鱼和鲱鱼一样,这是一种共生关系。 如果remora伤害了鲨鱼,那么它会自动成为寄生虫,但这不是生物课或海洋纪录片。
共生体感染其他进程造成损害
综上所述,共生体不能多是寄生虫。 他的名字可能来自于那个 我们没有注意到你的存在. 我们可能会在没有注意到它的情况下使用受感染的计算机,但如果我们没有注意到它并且它正在窃取我们的数据,它就会伤害我们,因此不可能存在“共生”。 黑莓解释:
Symbiote 与我们经常遇到的其他 Linux 恶意软件的不同之处在于,它需要感染其他正在运行的进程才能对受感染的机器造成损害。 它不是一个运行以感染机器的独立可执行文件,而是一个共享对象 (OS) 库,它使用 LD_PRELOAD (T1574.006) 将自身加载到所有正在运行的进程中,并寄生地感染机器。 一旦它感染了所有正在运行的进程,它就会为威胁参与者提供 rootkit 功能、收集凭据的能力和远程访问能力。
2021年XNUMX月被发现
黑莓于 2021 年 XNUMX 月首次发现 Symbiote,它看起来像 他们的目的地是拉丁美洲的金融部门. 一旦它感染了我们的计算机,它就会隐藏自己和威胁使用的任何其他恶意软件,因此很难检测到感染。 您的所有活动都是隐藏的,包括网络活动,因此几乎不可能知道它的存在。 但不好的不是它,而是它提供了一个后门,可以将自己标识为任何在计算机上注册的用户,使用强加密的密码,并且可以执行具有最高权限的命令。
已知它存在,但它感染的计算机很少,并且没有发现证据表明使用了非常有针对性或广泛的攻击。 Symbiote 使用伯克利包过滤器 隐藏恶意流量 受感染的计算机:
当管理员在受感染的机器上启动任何数据包捕获工具时,BPF 字节码被注入内核,定义应该捕获哪些数据包。 在这个过程中,Symbiote 首先添加它的字节码,这样它就可以过滤它不希望数据包捕获软件看到的网络流量。
共生体隐藏为最好的 Gorgonite(小战士)
Symbiote 设计为由链接器通过 LD_PRELOAD 加载。 这允许它在任何其他共享对象之前加载。 由于较早加载,它可以劫持应用程序加载的其他库文件的导入。 共生体使用它来 隐藏他们的存在 连接到 libc 和 libpcap。 如果调用应用程序尝试访问 /proc 中的文件或文件夹,恶意软件会删除其列表中进程名称的输出。 如果它没有尝试访问 /proc 中的任何内容,那么它会从文件列表中删除结果。
黑莓在文章结尾说我们正在处理一个非常难以捉摸的恶意软件。 他们的 目标是获得凭据 并为受感染的计算机提供后门。 它很难被发现,所以我们唯一可以希望的是补丁会尽快发布。 不知道用得太多,但很危险。 从这里开始,一如既往地记住在安全补丁可用时立即应用它们的重要性。
并且您需要提供以前的root权限才能安装它,对吗?