シンビオート, ブラックベリーの研究者によって発見された, は、感染したマシンで実行中のすべてのプロセスに感染するように設計された新しいLinuxマルウェアです。. このマルウェアは、アカウントのクレデンシャルを盗み、そのオペレーターにバックドアアクセスを提供することができます.
SymbioteLinuxマルウェアの調査
マルウェアの最初の検出は11月に発生しました 2021, ラテンアメリカの金融機関に対する攻撃で発見されたとき. マルウェアは、感染後に自分自身を隠すことができます, 検出が非常に困難になります.
さらに, 研究者は、ライブフォレンジックでさえすべてのファイルとして何も明らかにしないかもしれないと言いました, プロセス, ネットワークアーティファクトは隠されています (別名. ルートキット機能). ルートキットに加えて, このマルウェアはバックドアも提供し、脅威の攻撃者がハードコードされたパスワードを介して侵入先のマシンに任意のユーザーとしてログインできるようにします。. 次のステップは、最高の特権でコマンドを実行することです.
「それは非常に回避的であるため, シンビオート感染は「レーダーの下を飛ぶ」可能性があります。私たちの研究では, Symbioteが高度に標的化された攻撃または広範な攻撃に使用されているかどうかを判断するための十分な証拠が見つかりませんでした,」レポートは言った.
マルウェアの最も興味深い技術的側面の1つは、いわゆるBerkeleyPacketFilterです。 (BPF) フック機能. これは、この機能を使用する最初のLinuxマルウェアではありませんが, Symbioteの場合、フックは、侵害されたマシン上の悪意のあるネットワークトラフィックを隠すために使用されます. この機能を使用するマルウェアの他の例には、Equation脅威グループに起因する高度なバックドアが含まれます.
管理者がパケットキャプチャツールを開始したとき, BPFバイトコードがカーネルに挿入され、キャプチャするパケットを定義します.
「このプロセスでは, Symbioteは最初にバイトコードを追加するため、パケットキャプチャソフトウェアに表示されたくないネットワークトラフィックを除外できます。,」研究者は付け加えた.
完全な技術的開示はで利用可能です 元のBlackberryレポート. Linux環境を対象とした最近のマルウェアサンプルの他の例には、次のものがあります。 Cheerscryptランサムウェア そしてその SysJokerバックドア.