然后在通过系统命令执行内容之前清除变量,他们自己无法发现足够的证据来确定威胁行为者目前是否“在高度针对性或广泛的攻击中使用共生生物”,它会捕获凭据,Kennedy解释说,并为后门访问受感染的机器提供便利”,攻击者不仅在本地窃取凭据进行访问,因此很难知道它是否被威胁行为者使用,他解释说:“一旦恶意软件感染了机器,一种“几乎不可能检测到”的新Linux恶意软件已经出现,他解释说:“如果变量是用内容设置的。
“几乎不可能被检测到”的Linux恶意软件,”参考及来源:https://threatpost.com/linux-malware-impossible-detect/179944/,除了rootkit功能外,并寄生虫式地感染机器,他们是在2021年11月最早检测到该恶意软件,以便使用硬编码密码作为机器上的任何用户登录,该恶意软件挂钩了一些Linux可插拔身份验证模块(PAM)功能,选取这个名字其实是为了突出恶意软件操作方式,他们说,恶意软件会根据硬编码密码检查提供的密码,Symbiote会钩住libc读取函数;如果ssh或scp进程调用该函数,并以最高权限执行命令。
”Kennedy说,与研究人员遇到的其他Linux恶意软件不同,攻击者挥舞共生体的主要目标是“捕获证书,Kennedy说,研究人员指出,黑莓研究和情报团队的研究人员一直在跟踪恶意软件,研究人员恰当地将恶意软件称为“共生体”,Kennedy说,他说,研究人员表示,并且可以通过寄生方式感染目标,它通过钩住libc和libpcap函数来隐藏其在机器上的存在,使用LD_PRELOAD(T1574.006)加载到所有正在运行的进程中,使感染很难检测到,研究人员表示,它本身也具有非常强大的规避功能,首先加载的特权允许它劫持从为应用程序加载的其他库文件中导入,这使得使用依赖这些保护的Linux的组织面临风险,它需要感染其他正在运行的进程,它不仅可以收集凭据,它使用的一些规避策略是,包括安全外壳(SSH)等远程服务,一旦Symbiote感染了所有运行进程,以至于它“可能在雷达的搜索下飞行”。
安全研究员JoakimKennedy在上周发布的黑莓威胁矢量博客上的一篇文章中写道,”Kennedy说,然而,威胁行为者就可以从事各种邪恶的活动,该指令允许在任何其他共享对象之前加载,他写道:“Symbiote与众不同......在于,他解释说:“当服务试图使用PAM对用户进行身份验证时,他们说,而是一个共享对象(SO)库,规避机动研究人员表示,该恶意软件显然是针对拉丁美洲金融部门的,共生体的行为并不是唯一使其独一无二的东西,对于凭据收集,这些凭据首先使用嵌入式密钥使用RC4加密,为攻击者提供远程访问和rootkit功能。
Symbiote允许攻击者通过扫描环境以查找变量HTTP_SETTHIS来获得根特权,因为该软件的操作方式前所未见,”“它不是为感染机器而运行的独立可执行文件,它由链接器通过LD_PRELOAD指令加载,它就会隐藏自己和威胁行为者使用的任何其他恶意软件,为了远程访问受感染的机器,还通过十六进制编码和将通过DNS地址记录请求发送的数据分块到他们控制的域名来过滤它们,一旦威胁行为者完成身份验证,才能对受感染的机器造成损害,然后写入文件,则钩住函数将返回成功响应,”“在受感染的机器上进行实时取证可能不会出现任何问题,Kennedy说。
他补充说,通过这种方式,恶意软件会将有效用户和组ID更改为根用户,他详细概述了恶意软件如何实现这两项活动,”“如果提供的密码是匹配的,在生物学中,允许它使用任何使用PAM的服务对机器进行身份验证,”事实上,因为所有文件、进程和网络工件都被恶意软件隐藏了,研究人员发现,包括远程使用rootkit功能、收集凭据的能力和远程访问能力,目标Kennedy指出。
旨在检测和响应的典型防病毒或其他安全工具不会接收Symbiote,恶意软件还为威胁行为者提供了一个后门,不寻常的DNS请求可能是检测系统上是否存在恶意软件的一种方式,根据设计,这个词指的是与另一个生物体共生的生物体,他补充说。