検出が非常に困難なLinuxのマルウェア「Symbiote」

一度感染すると検出が非常に困難になるという Linux のマルウェア「Symbiote」について、Intezer と BlackBerry Threat Research & Intelligence Team が共同で調査結果を発表している(Intezer のブログ記事[1]、[2]、Ars Technica の記事、The Register の記事)。

Symbiote はスタンドアロンの実行ファイルではなく共有ライブラリであり、LD_PRELOAD 環境変数を用いてすべてのプロセスの実行時に読み込ませる仕組みだ。すべてのプロセスに感染後は、ルートキットとしてマルウェア関連ファイルをすべて隠ぺい可能になるほか、Barkeley Packet Filter (BPF) をフックしてパケットキャプチャツールから自身のネットワークトラフィックを隠ぺいする。マルウェアとしての機能は認証情報の収集とバックドアで、使用ドメイン名によればブラジルの銀行に成りすましているとみられるが、実際の攻撃に関する明確な証拠は得られていないとのことだ。

スラドのコメントを読む | Linuxセクション | Linux | セキュリティ

　関連ストーリー：
Linux 5.15 でマージされた NTFS3 ドライバー、既に orphan 化との指摘も 2022年05月03日
Linux、フロッピーディスクコントローラーに低レベルコマンドを送る FDRAWCMD 無効化へ 2022年04月30日
Raspberry Pi OS、最新リリースでデフォルトユーザーアカウント「pi」を廃止 2022年04月10日