可用

研究人员警告新的 OrBit Linux 恶意软件会劫持执行流程

  • 浏览次数 27731
  • 喜欢 0
  • 评分 12345

Hackernews 编译,转载请注明出处:

微信图片_20220708142525

网络安全研究人员揭开了一种全新的、完全未被发现的Linux威胁,称为OrBit,这标志着针对流行操作系统的恶意软件攻击呈日益增长的趋势。

根据网络安全公司Intezer的说法,该恶意软件的名称来自用于临时存储已执行命令输出的文件名之一(“/tmp/.orbit”)。

“它既可以安装持久性功能,也可以作为挥发性植入物,”安全研究员Nicole Fishbein说。“该恶意软件实施高级规避技术,并通过hook关键功能在机器上获得持久性,通过SSH为黑客提供远程访问能力,获取凭据并记录TTY命令。”

该恶意软件的功能与Symbiote非常相似,因为它旨在感染受损机器上所有正在运行的进程。但与后者利用LD_PRELOAD环境变量来加载共享对象不同,OrBit采用两种不同的方法。

“第一种方法是将共享对象添加到加载程序使用的配置文件中,”Fishbein解释道。“第二种方法是修补加载程序本身的二进制文件,以便加载恶意共享对象。”

攻击链从一个负责提取有效负载(“libdl.so”) 的ELF传输器文件开始,并将其添加到动态链接器加载的共享库中。

流氓共享库被设计为 hook三个库(libc,libcap和Pugable Authentication Module(PAM))中的函数,导致现有和新进程使用修改后的函数,基本上允许它获取凭据、隐藏网络活动,并通过SSH设置对主机的远程访问,同时一直保持在雷达之下。

此外,OrBit依赖于一连串的方法,使其能够在不通知其存在的情况下运行,并以一种难以从受感染的计算机中删除的方式建立持久性。

一旦启动,这个后门程序的最终目标是通过hook读写函数来窃取信息,从而捕获机器上执行的进程正在写入的数据,包括bash和sh命令,这些命令的结果存储在特定的文件中。

针对Linux的威胁在继续发展的同时成功地保持在安全工具的雷达下,现在OrBit是新恶意软件如何规避和持久化的又一个例子。

 

消息来源:TheHackerNews,译者:Shirley;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc ” 并附上原文