Symbiote：一种针对拉丁美洲金融业的隐蔽Linux恶意软件

网络安全研究人员揭开了他们所谓的“几乎不可能检测到”的Linux恶意软件的神秘面纱，这些恶意软件可以被武器化到后门感染的系统中。

配音共生体由威胁情报公司BlackBerry和Intezer命名，这种隐形恶意软件因其能够在运行的进程和网络流量中隐藏自己，并像寄生虫一样消耗受害者的资源而得名。

据信，Symbiote背后的运营商已于2021 11月开始开发该恶意软件，威胁行为人主要利用该软件瞄准拉丁美洲的金融部门，包括巴西银行（Banco do Brasil）和Caixa等银行。

研究人员JoakimKennedy和IsmaelValenzuela在与《黑客新闻》分享的一份报告中表示：“Symbiote的主要目标是获取凭据，并为受害者机器的后门访问提供便利。”。“Symbiote与其他Linux恶意软件的不同之处在于，它会感染正在运行的进程，而不是使用独立的可执行文件进行破坏。”

它通过利用名为LD\u PRELOAD—；以前被Pro Ocean和Facefish等恶意网络安全软件使用的方法—；以便由动态链接器加载到所有正在运行的进程中并感染主机。

除了隐藏其在文件系统上的存在，Symbite还能够通过使用扩展的Berkeley包过滤器（eBPF）功能来隐藏其网络流量。这是通过将自身注入检查软件的过程并使用BPF过滤出可能揭示其活动的结果来实现的。

一旦劫持了所有正在运行的进程，Symbite就会启用rootkit功能来进一步隐藏其存在的证据，并为威胁参与者提供一个后门来登录到机器并执行特权命令。还观察到，将捕获的凭据存储在伪装为C头文件的文件中加密。

这不是第一次在野外发现具有类似功能的恶意软件。2014年2月，ESET透露了一个名为Ebury的Linux后门，该后门是为了窃取OpenSSH凭据并维护对受损服务器的访问。

此外，在披露了一种名为BPFDoor的基于Linux的被动植入物的细节近一个月后，该植入物装载了Berkeley数据包过滤器（BPF）嗅探器，以监控网络流量并启动绑定外壳，同时绕过防火墙保护。

研究人员总结道：“由于该恶意软件作为用户陆地级rootkit运行，检测感染可能很困难。”。“网络遥测可用于检测异常DNS请求，AVs和EDR等安全工具应静态链接，以确保它们不会被userland Rootkit‘感染’。”