研究人员警告称，新的OrBit Linux恶意软件会劫持执行流

网络安全研究人员揭开了一种新的、完全未被发现的Linux威胁的面纱，这种威胁被称为轨道，这表明针对流行操作系统的恶意软件攻击呈增长趋势。

安全研究员妮可·菲什宾（NicoleFishbein）说：“它既可以安装持久性功能，也可以作为挥发性植入物”。“该恶意软件实施高级规避技术，并通过挂钩关键功能在机器上获得持久性，通过SSH为威胁参与者提供远程访问能力，获取凭据，并记录TTY命令”。

OrBit是继BPFDoor、Symbiote和Syslogk之后，在短短三个月内曝光的第四个Linux恶意软件。

该恶意软件的功能也很像Symbiote，因为它的设计目的是感染受损机器上所有正在运行的进程。但与后者不同的是，后者利用LD\U PRELOAD环境变量加载共享对象，OrBit采用了两种不同的方法。

Fishbein解释说：“第一种方法是将共享对象添加到加载程序使用的配置文件中”。“第二种方法是修补加载程序本身的二进制文件，以便加载恶意共享对象”。

攻击链从一个ELF dropper文件开始，该文件负责提取有效负载（“libdl.so”），并将其添加到动态链接器加载的共享库中。

rogue共享库设计用于钩住三个库中的函数#8212；libc、libcap和可插拔认证模块（PAM）&8212；使现有和新进程使用修改后的函数，基本上允许它获取凭据、隐藏网络活动，并通过SSH设置对主机的远程访问，同时保持低调。

此外，OrBit依赖于一系列方法，使其能够在不通知其存在的情况下运行，并以难以从受感染机器中删除的方式建立持久性。

一旦参与，后门的最终目标是通过挂钩读写函数来捕获由机器上执行的进程写入的数据，包括bash和sh命令，从而窃取信息，其结果存储在特定文件中。

Fishbein说：“让这个恶意软件特别有趣的是，受害者机器上的库几乎全封闭的挂钩，这使得恶意软件在窃取信息和设置SSH后门的同时获得持久性并逃避检测”。

“针对Linux的威胁在不断演变，同时成功地隐藏在安全工具的雷达之下，现在OrBit又是一个新恶意软件如何躲避和持久的例子”。