就在昨天,我們發表了一篇文章,其中我們報告說他們有 修復了 GRUB 中的 7 個漏洞 Linux 的。 而是我們不習慣或完全錯誤:Linux 中當然存在安全漏洞和病毒,如 Windows、macOS 甚至 iOS/iPadOS 中存在的最封閉的系統。 完美的系統並不存在,雖然有些系統更安全,但我們的部分安全性是由於我們使用的操作系統市場份額很小。 但很少不是零,惡意開發人員知道這一點,比如那些創建了 共生體.
上週四是黑莓 拉響了警報,儘管當他試圖解釋威脅的名稱時,他的開頭並不好。 它說共生體是一種與另一種生物共生的生物。 到目前為止,我們做得很好。 不好的是當他說有時共生體可以 寄生 當它對另一個有利和有害時,但不是,或者一個或另一個:如果兩者都受益,就像鯊魚和鯡魚一樣,它就是一種共生關係。 如果remora傷害了鯊魚,那麼它會自動成為寄生蟲,但這不是生物課或海洋紀錄片。
共生體感染其他進程造成損害
綜上所述,共生體不能多是寄生蟲。 他的名字可能來自於那個 我們沒有註意到你的存在. 我們可能會在沒有註意到它的情況下使用受感染的計算機,但如果我們沒有註意到它並且它正在竊取我們的數據,它就會傷害我們,因此不可能存在“共生”。 黑莓解釋:
Symbiote 與我們通常遇到的其他 Linux 惡意軟件的不同之處在於,它需要感染其他正在運行的進程才能對受感染的機器造成損害。 它不是一個運行以感染機器的獨立可執行文件,而是一個共享對象 (OS) 庫,它使用 LD_PRELOAD (T1574.006) 將自身加載到所有正在運行的進程中,並寄生地感染機器。 一旦它感染了所有正在運行的進程,它就會為威脅參與者提供 rootkit 功能、收集憑據的能力和遠程訪問能力。
2021年XNUMX月被發現
黑莓於 2021 年 XNUMX 月首次發現 Symbiote,它看起來像 他們的目的地是拉丁美洲的金融部門. 一旦它感染了我們的計算機,它就會隱藏自己和威脅使用的任何其他惡意軟件,因此很難檢測到感染。 您的所有活動都是隱藏的,包括網絡活動,因此幾乎不可能知道它的存在。 但不好的不是它,而是它提供了一個後門,可以將自己標識為任何在計算機上註冊的用戶,使用強加密的密碼,並且可以執行具有最高權限的命令。
它的存在是眾所周知的,但它感染的計算機很少,並且沒有發現任何證據表明使用了非常有針對性或廣泛的攻擊。 Symbiote 使用伯克利包過濾器 隱藏惡意流量 受感染的計算機:
當管理員在受感染的機器上啟動任何數據包捕獲工具時,BPF 字節碼被注入內核,定義應該捕獲哪些數據包。 在這個過程中,Symbiote 首先添加它的字節碼,這樣它就可以過濾它不希望數據包捕獲軟件看到的網絡流量。
共生體隱藏為最好的 Gorgonite(小戰士)
Symbiote 設計為由鏈接器通過 LD_PRELOAD 加載。 這允許它在任何其他共享對象之前加載。 由於較早加載,它可以劫持應用程序加載的其他庫文件的導入。 共生體使用它來 隱藏他們的存在 連接到 libc 和 libpcap。 如果調用應用程序嘗試訪問 /proc 中的文件或文件夾,惡意軟件會刪除其列表中進程名稱的輸出。 如果它沒有嘗試訪問 /proc 中的任何內容,那麼它會從文件列表中刪除結果。
黑莓在文章結尾說我們正在處理一個非常難以捉摸的惡意軟件。 他們的 目標是獲得憑據 並為受感染的計算機提供後門。 它很難被發現,所以我們唯一能希望的就是補丁會盡快發布。 不知道用得太多,但很危險。 從這裡開始,一如既往地記住在安全補丁可用時立即應用它們的重要性。
並且您需要提供以前的root權限才能安裝它,對嗎?