日本综合一区二区|亚洲中文天堂综合|日韩欧美自拍一区|男女精品天堂一区|欧美自拍第6页亚洲成人精品一区|亚洲黄色天堂一区二区成人|超碰91偷拍第一页|日韩av夜夜嗨中文字幕|久久蜜综合视频官网|精美人妻一区二区三区

近期，一種新發(fā)現(xiàn)的名為Symbiote的Linux惡意軟件會感染目標系統(tǒng)上所有正在運行的進程，竊取帳戶憑據(jù)并為其背后的操作員提供后門訪問權(quán)限。據(jù)調(diào)查，該惡意軟件會將自身注入所有正在運行的進程，就像是一個系統(tǒng)里的寄生蟲，即使再細致的深入檢查期間也不會留下可識別的感染跡象。它使用 BPF（柏克萊封包過濾器）掛鉤功能來嗅探網(wǎng)絡(luò)數(shù)據(jù)包并隱藏自己的通信通道以防止安全工具的檢測。

創(chuàng)新互聯(lián)是一家專業(yè)提供湖北企業(yè)網(wǎng)站建設(shè),專注與成都網(wǎng)站建設(shè)、網(wǎng)站制作、成都h5網(wǎng)站建設(shè)、小程序制作等業(yè)務(wù)。10年已為湖北眾多企業(yè)、政府機構(gòu)等服務(wù)。創(chuàng)新互聯(lián)專業(yè)網(wǎng)站建設(shè)公司優(yōu)惠進行中。

BlackBerry和 Intezer Labs 的研究人員發(fā)現(xiàn)并分析了這種新型威脅，他們在一份詳細的技術(shù)報告中揭示了該新惡意軟件的詳細信息。據(jù)他們介紹，Symbiote 自去年以來一直被積極開發(fā)中。

與典型的可執(zhí)行文件形式不同，Symbiote是一個共享對象(SO)庫，它使用LD_PRELOAD指令加載到正在運行的進程中，以獲得相對于其他SOs的優(yōu)先級。通過第一個加載，Symbiote可以掛鉤“l(fā)ibc”和“l(fā)ibpcap”函數(shù)，并執(zhí)行各種操作來隱藏它的存在，比如隱藏寄生進程、隱藏部署了惡意軟件的文件等等。

安全研究人員在近期發(fā)布的一份報告中透露： “當惡意軟件將自己注入程序中時，它可以選擇顯示哪些結(jié)果。如果管理員在受感染的機器上啟動數(shù)據(jù)包捕獲，以調(diào)查一些可疑的網(wǎng)絡(luò)流量，Symbiote就會把自己注入到檢查軟件的過程中，并使用BPF掛鉤過濾掉可能暴露其活動的結(jié)果。”為了隱藏其在受損機器上的惡意網(wǎng)絡(luò)活動，Symbiote會清除它想要隱藏的連接條目，通過BPF進行包過濾，并移除其域名列表中的UDP traffic。

這種隱秘的新惡意軟件主要通過連接“l(fā)ibc讀取”功能從被黑的Linux設(shè)備中自動獲取證書。在針對高價值網(wǎng)絡(luò)中的Linux服務(wù)器時，這是一項至關(guān)重要的任務(wù)，因為竊取管理員帳戶憑據(jù)為暢通無阻的橫向移動和無限制地訪問整個系統(tǒng)開辟了道路。Symbiote還通過PAM服務(wù)為其背后的威脅參與者提供對機器的遠程SHH訪問，同時它還為威脅參與者提供了一種在系統(tǒng)上獲得 root 權(quán)限的方法。該惡意軟件的目標主要是拉丁美洲從事金融行業(yè)的實體，他們會冒充巴西銀行、該國聯(lián)邦警察等。研究人員表示由于惡意軟件作為用戶級 rootkit 運行，因此在檢測是否感染時就很困難。

“網(wǎng)絡(luò)遙測技術(shù)可以用來檢測異常的DNS請求，安全工具，如AVs和edr應(yīng)該靜態(tài)鏈接，以確保它們不被用戶的rootkits‘感染’，”專家表示，隨著大型和有價值的公司網(wǎng)絡(luò)廣泛使用這種架構(gòu)，這種用于攻擊Linux系統(tǒng)的先進和高度規(guī)避的威脅預(yù)計將在未來顯著增加。

當前文章：惡意軟件Symbiote將感染Linux系統(tǒng)上所有正在運行的進程
文章轉(zhuǎn)載：http://www.dlmjj.cn/article/ccidsgj.html