安全研究员Joakim Kennedy在上周发布的黑莓威胁矢量博客上的一篇文章中写道，黑莓研究和情报团队的研究人员一直在跟踪恶意软件，他们是在2021年11月最早检测到该恶意软件。

研究人员恰当地将恶意软件称为“共生体”，该恶意软件显然是针对拉丁美洲金融部门的。在生物学中，这个词指的是与另一个生物体共生的生物体。

Kennedy解释说，选取这个名字其实是为了突出恶意软件操作方式，因为该软件的操作方式前所未见，与研究人员遇到的其他Linux恶意软件不同。

他写道：“Symbiote与众不同......在于，它需要感染其他正在运行的进程，才能对受感染的机器造成损害。”“它不是为感染机器而运行的独立可执行文件，而是一个共享对象（SO）库，使用LD_PRELOAD（T1574.006）加载到所有正在运行的进程中，并寄生虫式地感染机器。”

Kennedy说，一旦Symbiote感染了所有运行进程，威胁行为者就可以从事各种邪恶的活动，包括远程使用rootkit功能、收集凭据的能力和远程访问能力。

他补充说，除了rootkit功能外，恶意软件还为威胁行为者提供了一个后门，以便使用硬编码密码作为机器上的任何用户登录，并以最高权限执行命令。

规避机动

研究人员表示，共生体的行为并不是唯一使其独一无二的东西。他说，它本身也具有非常强大的规避功能，以至于它“可能在雷达的搜索下飞行”，因此很难知道它是否被威胁行为者使用。

研究人员发现，它使用的一些规避策略是，根据设计，它由链接器通过LD_PRELOAD指令加载，该指令允许在任何其他共享对象之前加载。他们说，首先加载的特权允许它劫持从为应用程序加载的其他库文件中导入。Kennedy说，通过这种方式，它通过钩住libc和libpcap函数来隐藏其在机器上的存在。

他解释说：“一旦恶意软件感染了机器，它就会隐藏自己和威胁行为者使用的任何其他恶意软件，使感染很难检测到。”“在受感染的机器上进行实时取证可能不会出现任何问题，因为所有文件、进程和网络工件都被恶意软件隐藏了。”

事实上，研究人员表示，他们自己无法发现足够的证据来确定威胁行为者目前是否“在高度针对性或广泛的攻击中使用共生生物”。

研究人员指出，不寻常的DNS请求可能是检测系统上是否存在恶意软件的一种方式。然而，他们说，旨在检测和响应的典型防病毒或其他安全工具不会接收Symbiote，这使得使用依赖这些保护的Linux的组织面临风险。

目标

Kennedy指出，攻击者挥舞共生体的主要目标是“捕获证书，并为后门访问受感染的机器提供便利”。他详细概述了恶意软件如何实现这两项活动。

Kennedy说，对于凭据收集，Symbiote会钩住libc读取函数；如果ssh或scp进程调用该函数，它会捕获凭据，这些凭据首先使用嵌入式密钥使用RC4加密，然后写入文件。

他补充说，攻击者不仅在本地窃取凭据进行访问，还通过十六进制编码和将通过DNS地址记录请求发送的数据分块到他们控制的域名来过滤它们。

Kennedy说，为了远程访问受感染的机器，该恶意软件挂钩了一些Linux可插拔身份验证模块（PAM）功能，允许它使用任何使用PAM的服务对机器进行身份验证，包括安全外壳（SSH）等远程服务。

他解释说：“当服务试图使用PAM对用户进行身份验证时，恶意软件会根据硬编码密码检查提供的密码。”“如果提供的密码是匹配的，则钩住函数将返回成功响应。”

Kennedy说，一旦威胁行为者完成身份验证，Symbiote允许攻击者通过扫描环境以查找变量HTTP_SETTHIS来获得根特权。

他解释说：“如果变量是用内容设置的，恶意软件会将有效用户和组ID更改为根用户，然后在通过系统命令执行内容之前清除变量。”