研究人员警告新的 OrBit Linux 恶意软件会劫持执行流程

Hackernews 编译，转载请注明出处：

网络安全研究人员揭开了一种全新的、完全未被发现的Linux威胁，称为OrBit，这标志着针对流行操作系统的恶意软件攻击呈日益增长的趋势。

根据网络安全公司Intezer的说法，该恶意软件的名称来自用于临时存储已执行命令输出的文件名之一(“/tmp/.orbit”)。

“它既可以安装持久性功能，也可以作为挥发性植入物，”安全研究员Nicole Fishbein说。“该恶意软件实施高级规避技术，并通过hook关键功能在机器上获得持久性，通过SSH为黑客提供远程访问能力，获取凭据并记录TTY命令。”

该恶意软件的功能与Symbiote非常相似，因为它旨在感染受损机器上所有正在运行的进程。但与后者利用LD_PRELOAD环境变量来加载共享对象不同，OrBit采用两种不同的方法。

“第一种方法是将共享对象添加到加载程序使用的配置文件中，”Fishbein解释道。“第二种方法是修补加载程序本身的二进制文件，以便加载恶意共享对象。”

攻击链从一个负责提取有效负载(“libdl.so”) 的ELF传输器文件开始，并将其添加到动态链接器加载的共享库中。

流氓共享库被设计为 hook三个库（libc，libcap和Pugable Authentication Module（PAM））中的函数，导致现有和新进程使用修改后的函数，基本上允许它获取凭据、隐藏网络活动，并通过SSH设置对主机的远程访问，同时一直保持在雷达之下。

此外，OrBit依赖于一连串的方法，使其能够在不通知其存在的情况下运行，并以一种难以从受感染的计算机中删除的方式建立持久性。

一旦启动，这个后门程序的最终目标是通过hook读写函数来窃取信息，从而捕获机器上执行的进程正在写入的数据，包括bash和sh命令，这些命令的结果存储在特定的文件中。

针对Linux的威胁在继续发展的同时成功地保持在安全工具的雷达下，现在OrBit是新恶意软件如何规避和持久化的又一个例子。

消息来源：TheHackerNews，译者：Shirley；
本文由 HackerNews.cc 翻译整理，封面来源于网络；
转载请注明“转自 HackerNews.cc ” 并附上原文