针对 Linux 的新型恶意软件 Symbiote：几乎不可能被检测到

发布时间：2025-12-07 19:53:21 作者：玩站小弟

Intezer 和 BlackBerry 的研究团队近期新发现了一种新的 Linux 恶意软件，以一种寄生的性质影响 Linux 操作系统；它会感染受感染系统上所有正在运行的进程，为威胁参与者提供。

Intezer 和 BlackBerry 的针对研究团队近期新发现了一种新的 Linux 恶意软件，以一种寄生的新型性质影响 Linux 操作系统；它会感染受感染系统上所有正在运行的进程，为威胁参与者提供 rootkit 功能、恶意获取凭证和远程访问的软件能力。

他们将这一恶意软件命名为 Symbiote ，被检并描述为 “一种新的针对、几乎不可能检测到的免费模板新型 Linux 威胁” 。Symbiote 最早被检测到是恶意在 2021 年 11 月，研究发现它似乎是软件针对拉丁美洲的金融部门而编写的。

根据介绍，被检Symbiote 不是针对典型的可执行文件形式，而是香港云服务器新型一个共享对象 (SO) 库，使用 LD_PRELOAD 指令加载到正在运行的恶意进程中，并寄生地感染机器。软件它利用 Berkeley Packet Filter (BPF) hooking 功能来隐藏受感染机器上的被检恶意网络流量。

安全研究人员指出，当它将自身注入进程时，恶意软件可以选择它想要显示的结果。“如果管理员在受感染的机器上启动数据包捕获以调查一些可疑的服务器租用网络流量，Symbiote 会将自己注入到检查软件的进程中，并使用 BPF hooking 来过滤出可能揭示其活动的结果” 。

Symbiote 可以 hooking “libc” 和 “libpcap”函数并执行各种操作来隐藏其存在，例如隐藏寄生进程、隐藏与恶意软件一起部署的文件等等。为了隐藏受感染机器上的恶意网络活动，Symbiote会清理它想要隐藏的高防服务器连接条目，通过 BPF 执行数据包过滤，并删除到其列表中域名的 UDP 流量。

除了隐藏自己在机器上的存在外，Symbiote 恶意软件还会隐藏与可能与其一起部署的恶意软件相关的其他文件。

研究人员总结称，Symbiote 是一种具有高度规避性的云计算恶意软件。它的主要目标是捕获凭据并促进对受感染机器的后门访问。由于恶意软件作为用户级 rootkit 运行，因此检测感染可能很困难。网络遥测可用于检测异常 DNS 请求，并且应静态链接 AV 和 EDR 等安全工具，以确保它们不会被用户级 rootkit “感染”。

Tag：

规划网络弹性数据保护之路
企业对网络威胁的担忧持续上升，其仍是造成企业经营中断的首要原因。52%的受访者表示，在过去12个月内遭受过网络攻击，导致其无法访问数据，达到了5年多来的最高比例。企业因此遭受巨大的经济损失，与上一次报
2025-12-07
Excel表格按月份排序的方法
很多小伙伴都喜欢使用excel来对表格文档进行编辑，因为Excel中的功能十分的丰富，并且操作简单。在Excel中我们可以对表格中的数据格式进行编辑，还可以对数据进行排序或是计算等操作。有的小伙伴想要
2025-12-07
挖掘有价值的域名（如何选择具有潜力的域名及其价值分析）
域名作为互联网的门户，具有重要的商业价值。在如今竞争激烈的市场环境下，选择具有潜力和价值的域名尤为重要。本文将从域名行业的角度出发，详细介绍如何挖掘有价值的域名以及其价值分析。域名长度是否合适域名长度
2025-12-07
匠龙机器人（探索匠龙机器人的功能与应用，体验智能科技带来的便利）
随着科技的快速发展，人工智能已经开始渗透到我们的生活中。匠龙机器人作为一款智能助手产品，以其强大的功能和优秀的性能，在市场上引起了广泛关注。本文将从多个方面介绍匠龙机器人的特点和应用，带您深入了解这款
2025-12-07
深入理解Shiro反序列化原理
前言Shiro是一个功能强大且易于使用的Java安全框架，提供全面的身份验证、授权、密码管理和会话管理功能。它支持多种认证方式，如基于表单、HTTP基本身份验证和RememberMe。授权模型灵活，可
2025-12-07
金立M6值得购买吗？（一款优秀的性价比之选）
作为一款中端手机，金立M6在市场上备受关注。但是，它是否真的值得购买呢？本文将从多个方面对金立M6进行评估，以帮助消费者做出明智的购买决策。1.外观设计出色金立M6采用全金属机身设计，手感优良，边框和
2025-12-07