研究人员表示,一种“几乎不可能检测到”的新Linux恶意软件已经出现,它不仅可以收集凭据,并且可以通过寄生方式感染目标,为攻击者提供远程访问和rootkit功能。
安全研究员Joakim Kennedy在上周发布的黑莓威胁矢量博客上的一篇文章中写道,黑莓研究和情报团队的研究人员一直在跟踪恶意软件,他们是在2021年11月最早检测到该恶意软件。
研究人员恰当地将恶意软件称为“共生体”,该恶意软件显然是针对拉丁美洲金融部门的。在生物学中,这个词指的是与另一个生物体共生的生物体。
Kennedy解释说,选取这个名字其实是为了突出恶意软件操作方式,因为该软件的操作方式前所未见,与研究人员遇到的其他Linux恶意软件不同。
他写道:“Symbiote与众不同......在于,它需要感染其他正在运行的进程,才能对受感染的机器造成损害。”“它不是为感染机器而运行的独立可执行文件,而是一个共享对象(SO)库,使用LD_PRELOAD(T1574.006)加载到所有正在运行的进程中,并寄生虫式地感染机器。”
Kennedy说,一旦Symbiote感染了所有运行进程,威胁行为者就可以从事各种邪恶的活动,包括远程使用rootkit功能、收集凭据的能力和远程访问能力。
他补充说,除了rootkit功能外,恶意软件还为威胁行为者提供了一个后门,以便使用硬编码密码作为机器上的任何用户登录,并以最高权限执行命令。
研究人员表示,共生体的行为并不是唯一使其独一无二的东西。他说,它本身也具有非常强大的规避功能,以至于它“可能在雷达的搜索下飞行”,因此很难知道它是否被威胁行为者使用。
研究人员发现,它使用的一些规避策略是,根据设计,它由链接器通过LD_PRELOAD指令加载,该指令允许在任何其他共享对象之前加载。他们说,首先加载的特权允许它劫持从为应用程序加载的其他库文件中导入。Kennedy说,通过这种方式,它通过钩住libc和libpcap函数来隐藏其在机器上的存在。
他解释说:“一旦恶意软件感染了机器,它就会隐藏自己和威胁行为者使用的任何其他恶意软件,使感染很难检测到。”“在受感染的机器上进行实时取证可能不会出现任何问题,因为所有文件、进程和网络工件都被恶意软件隐藏了。”
事实上,研究人员表示,他们自己无法发现足够的证据来确定威胁行为者目前是否“在高度针对性或广泛的攻击中使用共生生物”。
研究人员指出,不寻常的DNS请求可能是检测系统上是否存在恶意软件的一种方式。然而,他们说,旨在检测和响应的典型防病毒或其他安全工具不会接收Symbiote,这使得使用依赖这些保护的Linux的组织面临风险。
Kennedy指出,攻击者挥舞共生体的主要目标是“捕获证书,并为后门访问受感染的机器提供便利”。他详细概述了恶意软件如何实现这两项活动。
Kennedy说,对于凭据收集,Symbiote会钩住libc读取函数;如果ssh或scp进程调用该函数,它会捕获凭据,这些凭据首先使用嵌入式密钥使用RC4加密,然后写入文件。
他补充说,攻击者不仅在本地窃取凭据进行访问,还通过十六进制编码和将通过DNS地址记录请求发送的数据分块到他们控制的域名来过滤它们。
Kennedy说,为了远程访问受感染的机器,该恶意软件挂钩了一些Linux可插拔身份验证模块(PAM)功能,允许它使用任何使用PAM的服务对机器进行身份验证,包括安全外壳(SSH)等远程服务。
他解释说:“当服务试图使用PAM对用户进行身份验证时,恶意软件会根据硬编码密码检查提供的密码。”“如果提供的密码是匹配的,则钩住函数将返回成功响应。”
Kennedy说,一旦威胁行为者完成身份验证,Symbiote允许攻击者通过扫描环境以查找变量HTTP_SETTHIS来获得根特权。
他解释说:“如果变量是用内容设置的,恶意软件会将有效用户和组ID更改为根用户,然后在通过系统命令执行内容之前清除变量。”
参考及来源:https://threatpost.com/linux-malware-impossible-detect/179944/