Symbiote Linux Malware flyver under radaren

Sikkerhedseksperter med BlackBerry Threat Research offentliggjorde et fælles forskningsindlæg om en ny stamme af Linux-malware, kaldet Symbiote.

Malwaren blev først opdaget i begyndelsen af 2022. Dens vigtigste højdepunkt er, hvor svært den er at opdage - holdet kalder Symbiote "næsten umulig" at opdage på et system.

Symbiote fungerer som et delt objektbibliotek på målsystemet, i modsætning til de fleste Linux-malware, der vil forsøge at kompromittere allerede kørende processer. I stedet indlæses Symbiote på alle kørende processer på offersystemet ved hjælp af VIA_PRELOAD.

Når den er fuldt implementeret, tilbyder Symbiote rootkit-funktioner til sine operatører. Malwaren gør brug af Berkeley Packet Filter hooking, som gør det muligt at maskere ondsindet pakketrafik på et inficeret system. Forskerne forklarede, at hvis en systemadministrator forsøger at bruge et pakkefangst- og overvågningsværktøj til at lede efter ondsindet aktivitet, vil Symbiote injicere Berkeley Packet Filter-bytekode, der fortæller kernen, hvilke pakker der skal fanges, hvilket gør det muligt for malwaren at forme, hvilken trafik der vises i fange.

Symbiote holder en meget lav profil og bliver forudindlæst før alle andre delte objekter på systemet, hvilket gør det muligt at forblive skjult. Det kan også høste legitimationsoplysninger fra de kompromitterede systemer.

Symbiote-malwarens tidligste opdagede prøve går tilbage til slutningen af 2021 og blev sandsynligvis brugt til at målrette mod bankinstitutioner i Sydamerika.