最新 Linux 病毒 Symbiote，极难检测！-技术圈

Intezer 和 BlackBerry 的研究团队近期新发现了一种新的 Linux 恶意软件，以一种寄生的性质影响 Linux 操作系统；它会感染受感染系统上所有正在运行的进程，为威胁参与者提供 rootkit 功能、获取凭证和远程访问的能力。

他们将这一恶意软件命名为 Symbiote，并描述为 “一种新的、几乎不可能检测到的 Linux 威胁”。Symbiote 最早被检测到是在 2021 年 11 月，研究发现它似乎是针对拉丁美洲的金融部门而编写的。

根据介绍，Symbiote 不是典型的可执行文件形式，而是一个共享对象 (SO) 库，使用 LD_PRELOAD 指令加载到正在运行的进程中，并寄生地感染机器。它利用 Berkeley Packet Filter (BPF) hooking 功能来隐藏受感染机器上的恶意网络流量。

安全研究人员指出，当它将自身注入进程时，恶意软件可以选择它想要显示的结果。“如果管理员在受感染的机器上启动数据包捕获以调查一些可疑的网络流量，Symbiote 会将自己注入到检查软件的进程中，并使用 BPF hooking 来过滤出可能揭示其活动的结果”。

Symbiote 可以 hooking “libc” 和 “libpcap” 函数并执行各种操作来隐藏其存在，例如隐藏寄生进程、隐藏与恶意软件一起部署的文件等等。为了隐藏受感染机器上的恶意网络活动，Symbiote 会清理它想要隐藏的连接条目，通过 BPF 执行数据包过滤，并删除到其列表中域名的 UDP 流量。

除了隐藏自己在机器上的存在外，Symbiote 恶意软件还会隐藏与可能与其一起部署的恶意软件相关的其他文件。

研究人员总结称，Symbiote 是一种具有高度规避性的恶意软件。它的主要目标是捕获凭据并促进对受感染机器的后门访问。由于恶意软件作为用户级 rootkit 运行，因此检测感染可能很困难。网络遥测可用于检测异常 DNS 请求，并且应静态链接 AV 和 EDR 等安全工具，以确保它们不会被用户级 rootkit “感染”。

来源：黑客驰

（版权归原作者所有，侵删）

10T 技术资源大放送！包括但不限于：Linux、虚拟化、容器、云计算、网络、Python、Go 等。在开源Linux公众号内回复「10T」，即可免费获取！

shell编程100例（附PDF下载）
IPv6技术白皮书（附PDF下载）
Linux主流发行版本配置IP总结（Ubuntu、CentOS、Redhat、Suse）
批量安装Windows系统
 无人值守批量安装服务器
 运维必备的《网络端口大全》，看这一份就够了。
收藏：服务器和存储知识入门
 什么叫SSH？原理详解，看这一篇就够了！
Nginx面试40问(收藏吃灰)
20 个 Linux 服务器性能调优技巧
 超详细！一文带你了解LVS四层负载均衡企业级实践！
收藏 | Linux系统日志位置及包含的日志内容介绍
 100 道 Linux 常见面试题，建议收藏，慢慢读~
服务器12种基本故障+排查方法
 IT运维管理常用工具大全，让你成为真正的高手
 什么是QoS？

Linux学习指南
有收获，点个在看