在前一篇文章（点此查看）中，笔者详细分析了云原生安全1.X和云原生安全2.X的差异性，并且阐述了云原生安全2.X五大特征，即，软件资产管理和安全一体化、编排环境适配一体化、工作负载安全一体化、网络层安全一体化、应用安全一体化的具体含义以及目标。在本篇文章中，笔者将结合安全狗实践过程的经验为读者分享如何落地云原生安全2.X概念。

安全狗云甲V5.0是国内首个实现了云原生安全2.X的五个一体化，以及两个扩展一体化的产品。作为落地云原生安全2.X概念的实际产品，云甲V5.0总体架构设计思路如下图所示：

图1

通过将容器云平台通用安全能力下沉到一个“N合1”安全基座上，云甲在避免单品堆叠部署之余，一个Agent同时覆盖主机安全、容器安全、网络微隔离、多租户、安全策略联邦、云原生安全合规、资产精细化采集等云原生全栈安全需求，且安全组件稳定、资源占用少、不影响业务。云甲以安全大基座的方式支撑了资产管理与安全一体化，环境安全一体化，工作负载安全一体化、网络安全一体化的落地实现。

在赋能应用安全方面，云甲依托外联WAF、API安全网关和内联RASP虚拟补丁引擎形成“里应外合”一体化方案，将具有漏洞预防、业务访问授权、数据脱敏、应用合规基线等普遍性、共性需求应用安全能力下沉到PASS层的安全基座，赋能对象包括传统单体应用，也包括微服务应用。这样降低应用自身安全类功能的开发成本，整体提高应用开发效率和安全性，同时解决了老旧应用安全加固免改造的难题。

最后，云甲可同时推送数据和开放威胁阻断类、排查验证类的API接口，与容器云平台、数字化安全运营平台无缝衔接，数据共享和联防联抗，满足了安全集成协同需求。

接下来笔者将重点介绍云甲的资产管理和安全一体化、工作负载安全一体化和网络层安全一体化三个方面的重要创新亮点。

在资产管理和安全一体化方面，云甲的技术实现逻辑原理如图所示：

图2 

图3

图4 

图5

如下图所示，云甲构建组件依赖关系链图谱，完整可视化全栈软件供应链，以及间接依赖软件包的漏洞风险。

图6

云甲采用漏洞情报库帮助用户确定漏洞的优先级，帮助用户修复“真正需求修补”的漏洞，而不盲目关注所有的漏洞。漏洞情报运营原理如下图所示：

图7

如下图所示，某客户依托漏洞情报库的协助，在漏洞治理方面取得显著的成效。

图8

云甲V5.0的软件供应链安全图谱结合漏洞情报库可以高效提升漏洞修复率，如果没有完整的可见性或整个依赖树的指导，漏洞将无法检测或修复、并进行漏洞利用预防。安全狗云甲一体化软件供应链安全解决方案提供了一直到叶节点的完整依赖扫描，以确保组织能够了解每个潜在的漏洞来源。

云甲V5.0软件资产管理与安全一体化的第3个创新针对的是传统的 SBOM 不包括云基础设施资源以及客户对其云基础设施风险不可见等系列问题。云甲实现了将基础架构中的资源即代码 (IaC) 进行检查并生成 SBOM 的功能，并进一步提供了开源许可证、漏洞和错误配置等风险信息，以便组织可以了解软件的法律和安全风险。因此，云甲支持用户在早期代码/构建阶段掌控全栈风险，尽早采取预防措施。

云甲V5.0工作负载安全一体化的创新提出“N合1”安全Agent大基座的架构设计思路。如下图所示。云甲在每个节点上部署一个轻代理软件，同时覆盖宿主机和容器工作负载的一体化安全防护目标。

图9

云甲可应对运行时安全。通过静态检测和动态监控检测容器运行时的已知风险和未知风险。静态检测优势：webshell、弱口令、应急漏洞；动态监控优势：实时逃逸、进程rce、暴力破解。

场景1：云甲支持基于“静态扫描”和“动态实时防护”，可及时发现Webshell以及挖矿木马，并对它们进行信任、隔离、下载、删除等操作。

图10

图11

场景2：针对“植入内存木马攻击”，云甲支持通过“内存马检测”功能进行威胁检测。

攻击方视角：运用“WEB应用漏洞”与“可引发容器逃逸的配置缺陷”进行渗透攻击。

图12

防守方视角：“一体化”的运行时威胁攻击

图13

总体来说，云甲可形成多维度实时威胁检测，对容器逃逸、无文件/无恶意软件攻击快速发现，以及横移攻击的感知和自动化响应阻断。

云甲V5.0进行了云原生网络层底层技术创新，开发了新一代高性能一体化云原生防火墙。对于Kubernetes集群中不支持Kubernetes NetworkPolicy的Pod，云甲也能实施RBAC（基于角色访问控制）和ABAC（基于属性访问控制）相结合的网络流量管控策略。此创新点满足有“高度合规监管，技术安全性、稳定性、网络延迟和资源消耗要求严格”特点的银行、电力等核心业务系统在云原生化升级过程中对多模网络场景下网络访问控制的严苛需求，兼容国产信创环境。

云甲V5.0是业界首个提出“访问控制策略快调度、容器间非法访问数据包少跑动”设计思路，如下图所示：

图14

云甲V5.0新一代云原生防火墙技术解决了当前云原生防火墙在业务峰值期间自身占用CPU、内存、IO等资源开销高、网络延迟大、网络吞吐下降等影响业务应用的问题；同时也解决了云原生防火墙对国产信创环境和Underlay 网络方案的CNI插件兼容性差、定制改造成本高的问题。

云原生架构下的访问控制整体需求从底层到高层依次包括：K8S L3-L4层的（网络访问控制策略）、K8S L7层服务网格（服务访问控制策略）、业务应用层的业务访问控制策略、数据层数据访问控制策略，这个四个层面访问控制策略虽然抽象粒度不同，但本质上在技术层面是有相互关联的，如下图所示：

图15

云甲V5.0网络层访问控制策略支持包括用户属性、环境属性和资源属性等丰富的上下文信息，支持用户制定覆盖四个层面的综合性访问策略和自动化联防联抗策略，实现访问控制策略统一协同。

云甲V5.0访问控制策略实现采用了RBAC（基于角色访问控制）和ABAC（基于属性访问控制）结合的零信任访问控制策略实现模型，支持各类策略作者使用高级声明性语言表达、定义、管理具备上下文感知的策略，以适应环境或数据的变化，从而实现高级自动化，可扩展性更强、更方便，支持更加细粒度控制和根据上下文动态执行。解决了云原生东西向流量访问关系复杂、快速变化和访问控制策略需动态频繁调整的场景下，用户无法根据用户属性（比如：访问者进程运行用户、角色或组、特权账号、弱口令账号等）、环境属性（漏洞、安全状态、安全事件等）、资源属性（创建日期、资源所有者、文件名和数据敏感性等）基于零信任模式制定综合性访问策略和自动化联防联抗的难题。

本文主要分享了安全狗云甲V5.0在落地云原生安全2.X五大特征时的经验。在下篇文章笔者将重点分享安全狗云原生安全2.X的未来拓展方向与思路，敬请期待~

在前一篇文章（点此查看）中，笔者详细分析了云原生安全1.X和云原生安全2.X的差异性，并且阐述了云原生安全2.X五大特征，即，软件资产管理和安全一体化、编排环境适配一体化、工作负载安全一体化、网络层安全一体化、应用安全一体化的具体含义以及目标。在本篇文章中，笔者将结合安全狗实践过程的经验为读者分享如何落地云原生安全2.X概念。

安全狗云甲V5.0是国内首个实现了云原生安全2.X的五个一体化，以及两个扩展一体化的产品。作为落地云原生安全2.X概念的实际产品，云甲V5.0总体架构设计思路如下图所示：

图1

通过将容器云平台通用安全能力下沉到一个“N合1”安全基座上，云甲在避免单品堆叠部署之余，一个Agent同时覆盖主机安全、容器安全、网络微隔离、多租户、安全策略联邦、云原生安全合规、资产精细化采集等云原生全栈安全需求，且安全组件稳定、资源占用少、不影响业务。云甲以安全大基座的方式支撑了资产管理与安全一体化，环境安全一体化，工作负载安全一体化、网络安全一体化的落地实现。

在赋能应用安全方面，云甲依托外联WAF、API安全网关和内联RASP虚拟补丁引擎形成“里应外合”一体化方案，将具有漏洞预防、业务访问授权、数据脱敏、应用合规基线等普遍性、共性需求应用安全能力下沉到PASS层的安全基座，赋能对象包括传统单体应用，也包括微服务应用。这样降低应用自身安全类功能的开发成本，整体提高应用开发效率和安全性，同时解决了老旧应用安全加固免改造的难题。

最后，云甲可同时推送数据和开放威胁阻断类、排查验证类的API接口，与容器云平台、数字化安全运营平台无缝衔接，数据共享和联防联抗，满足了安全集成协同需求。

接下来笔者将重点介绍云甲的资产管理和安全一体化、工作负载安全一体化和网络层安全一体化三个方面的重要创新亮点。

在资产管理和安全一体化方面，云甲的技术实现逻辑原理如图所示：

图2 

图3

图4 

图5

如下图所示，云甲构建组件依赖关系链图谱，完整可视化全栈软件供应链，以及间接依赖软件包的漏洞风险。

图6

云甲采用漏洞情报库帮助用户确定漏洞的优先级，帮助用户修复“真正需求修补”的漏洞，而不盲目关注所有的漏洞。漏洞情报运营原理如下图所示：

图7

如下图所示，某客户依托漏洞情报库的协助，在漏洞治理方面取得显著的成效。

图8

云甲V5.0的软件供应链安全图谱结合漏洞情报库可以高效提升漏洞修复率，如果没有完整的可见性或整个依赖树的指导，漏洞将无法检测或修复、并进行漏洞利用预防。安全狗云甲一体化软件供应链安全解决方案提供了一直到叶节点的完整依赖扫描，以确保组织能够了解每个潜在的漏洞来源。

云甲V5.0软件资产管理与安全一体化的第3个创新针对的是传统的 SBOM 不包括云基础设施资源以及客户对其云基础设施风险不可见等系列问题。云甲实现了将基础架构中的资源即代码 (IaC) 进行检查并生成 SBOM 的功能，并进一步提供了开源许可证、漏洞和错误配置等风险信息，以便组织可以了解软件的法律和安全风险。因此，云甲支持用户在早期代码/构建阶段掌控全栈风险，尽早采取预防措施。

云甲V5.0工作负载安全一体化的创新提出“N合1”安全Agent大基座的架构设计思路。如下图所示。云甲在每个节点上部署一个轻代理软件，同时覆盖宿主机和容器工作负载的一体化安全防护目标。

图9

云甲可应对运行时安全。通过静态检测和动态监控检测容器运行时的已知风险和未知风险。静态检测优势：webshell、弱口令、应急漏洞；动态监控优势：实时逃逸、进程rce、暴力破解。

场景1：云甲支持基于“静态扫描”和“动态实时防护”，可及时发现Webshell以及挖矿木马，并对它们进行信任、隔离、下载、删除等操作。

图10

图11

场景2：针对“植入内存木马攻击”，云甲支持通过“内存马检测”功能进行威胁检测。

攻击方视角：运用“WEB应用漏洞”与“可引发容器逃逸的配置缺陷”进行渗透攻击。

图12

防守方视角：“一体化”的运行时威胁攻击

图13

总体来说，云甲可形成多维度实时威胁检测，对容器逃逸、无文件/无恶意软件攻击快速发现，以及横移攻击的感知和自动化响应阻断。

云甲V5.0进行了云原生网络层底层技术创新，开发了新一代高性能一体化云原生防火墙。对于Kubernetes集群中不支持Kubernetes NetworkPolicy的Pod，云甲也能实施RBAC（基于角色访问控制）和ABAC（基于属性访问控制）相结合的网络流量管控策略。此创新点满足有“高度合规监管，技术安全性、稳定性、网络延迟和资源消耗要求严格”特点的银行、电力等核心业务系统在云原生化升级过程中对多模网络场景下网络访问控制的严苛需求，兼容国产信创环境。

云甲V5.0是业界首个提出“访问控制策略快调度、容器间非法访问数据包少跑动”设计思路，如下图所示：

图14

云甲V5.0新一代云原生防火墙技术解决了当前云原生防火墙在业务峰值期间自身占用CPU、内存、IO等资源开销高、网络延迟大、网络吞吐下降等影响业务应用的问题；同时也解决了云原生防火墙对国产信创环境和Underlay 网络方案的CNI插件兼容性差、定制改造成本高的问题。

云原生架构下的访问控制整体需求从底层到高层依次包括：K8S L3-L4层的（网络访问控制策略）、K8S L7层服务网格（服务访问控制策略）、业务应用层的业务访问控制策略、数据层数据访问控制策略，这个四个层面访问控制策略虽然抽象粒度不同，但本质上在技术层面是有相互关联的，如下图所示：

图15

云甲V5.0网络层访问控制策略支持包括用户属性、环境属性和资源属性等丰富的上下文信息，支持用户制定覆盖四个层面的综合性访问策略和自动化联防联抗策略，实现访问控制策略统一协同。

云甲V5.0访问控制策略实现采用了RBAC（基于角色访问控制）和ABAC（基于属性访问控制）结合的零信任访问控制策略实现模型，支持各类策略作者使用高级声明性语言表达、定义、管理具备上下文感知的策略，以适应环境或数据的变化，从而实现高级自动化，可扩展性更强、更方便，支持更加细粒度控制和根据上下文动态执行。解决了云原生东西向流量访问关系复杂、快速变化和访问控制策略需动态频繁调整的场景下，用户无法根据用户属性（比如：访问者进程运行用户、角色或组、特权账号、弱口令账号等）、环境属性（漏洞、安全状态、安全事件等）、资源属性（创建日期、资源所有者、文件名和数据敏感性等）基于零信任模式制定综合性访问策略和自动化联防联抗的难题。

本文主要分享了安全狗云甲V5.0在落地云原生安全2.X五大特征时的经验。在下篇文章笔者将重点分享安全狗云原生安全2.X的未来拓展方向与思路，敬请期待~

近期，我们发现一种新型的Linux恶意软件Symbiote被报道出来，该恶意软件被描述为“几乎不可能被检测到”。之所以被命名为Symbiote（中文含义：共生体），也是基于该样本的攻击性质：作为非独立运行的共享库文件加载到其他正在运行的进程中。其目的是窃取远程主机的登录凭证以及后门访问。

下面将对该恶意软件的其中一个样本进行详细分析。

LD_PRELOAD是Linux系统的一个环境变量，它可以影响程序的运行时的链接（Runtime linker），允许你定义在程序运行前优先加载的动态链接库。通过这个环境变量，可以在主程序和其动态链接库的中间加载别的动态链接库。通过覆盖正常的库函数，注入到正在运行的进程，从而达到特定的目的。

该样本使用同名、同参数的自定义函数，通过LD_PRELOAD的方式加载到其他进程中，进而覆盖掉同名的系统函数，优先调用自定义函数，达到调用过程劫持效果。

所有的劫持函数都如下图逻辑：

 图1

该样本会隐藏自身加载到其他程序中的共享库痕迹，以及隐藏一起部署的其他恶意程序。

实现方式为，挂钩readdir、readdir64、stat、statx、fstatat、fstatat64等函数，目标文件在/proc下时，获取执行命令，判断是否为需要隐藏的进程，若是，则跳过该条目信息，继续执行返回下一个无需隐藏的文件条目信息。

 图2

 图3

本样本隐藏的进程名

除了隐藏一起部署的其他恶意程序，还会隐藏自身模块。如用户可通过ldd命令输出指定的每个程序或共享对象所需的共享对象（共享库）。如下图所示，ldd命令会调用execve函数，该样本就通过挂钩execve的方式劫持返回结果。

图4

通过LD_TRACE_LOADED_OBJECTS环境变量判断是否为列出其动态库依赖项（ldd命令）。

图5

具体隐藏过程如下，fork一个子进程去执行命令，返回结果到管道。

图6

在本进程中，使用后面的字符串数据覆盖掉需要隐藏的自身库字符串再输出，达到隐藏效果。

图7

运行效果图如下，该样本目前只是过滤硬编码写入的文件名，改名后就会显示出来，不排除后续版本会更新为自动获取名称。

图8

除了隐藏进程相关的文件，还会隐藏其他非进程的信息存储文件。在Linux系统中，使用ls、dir、tree等命令显示出目录下的文件信息，通过挂钩文件相关函数readdir、readdir64就可以实现文件隐藏。

具体细节如下，读取到需隐藏的文件流时，继续读取下一个，直至该文件流为非隐藏文件或为空才返回。这样就跳过了恶意文件，达到隐藏目的。

图9

 图10

隐藏的文件列表

4网络隐藏

该样本采用了三种流量隐藏的方法，分别是劫持fopen函数、劫持注入eBPF、劫持libpcap库函数。

检测到程序使用fopen读取\proc\net\目录下的文件时，便会生成一个临时文件，读取源文件的每一行并将过滤掉指定端口的数据写入临时文件，最后将过滤后的临时文件句柄返回调用者，达到隐藏效果。

图11

图12

BPF(Berkeley Packet Filter), 中文翻译就是伯克利包过滤器。从字面意思可以知道它的主要功能是用来过滤数据包的。根据介绍，BPF 钩子位于网络驱动中尽可能早的位置，无需进行原始包的复制就可以实现最佳的数据包处理性能，挂载的BPF程序是运行过滤的理想选择。

下面是BPF流程图：

 图13

劫持方法是挂钩函数setsockeopt，该函数用于设置socket状态。

检测到使用SO_ATTACH_FILTER方式调用时，表示该调用用于数据包过滤。此时就会先将自身的BPF字节码添加到其他软件的BPF字节码前，先一步过滤掉需隐藏的流量，再执行其他软件注入的BPF字节码进行过滤。

本样本用此方法过滤TCP连接中指定端口的流量（包括入站出站）。

图14

实现方法是挂钩函数pcap_loop、pcap_stats这两个函数。

挂钩函数pcap_loop、pcap_stats这两个函数，在函数pcap_loop中，劫持捕获流量后执行的回调函数，在恶意回调函数中，匹配流量中需要过滤的域字符串，通过包数计数器加一，丢掉这个流量包。

本样本中用此方法隐藏UDP流量数据。

图15

图16

该样本的主要目的有：窃取用户登入凭证，后门远程访问、文件下载命令执行。

当用户使用ssh或者scp并通过公私密钥key进行远程主机访问时，挂钩后的read便会获取调用程序命令行参数，获取远程主机的地址、连接RSA私钥等信息。

图17

图18

使用简化的CR4算法加密后，存放在/usr/include/cerbot.h文件中，并通过 DNS 地址 (A) 记录请求泄露到攻击者的控制的域名。

图19

图20

该样本劫持Linux系统上可插拔认证模块（PAM）的关键函数pam_set_item、pam_authenticate、pam_acct_mgmt。其中pam_set_item函数用于截取用户登入密码，pam_authenticate函数用于校验密码。

图21

图22

这意味着攻击者可以使用写入的硬编码口令，以任意用户远程访问受害者服务器。

而当其他用户使用远程访问工具（ssh）访问受害者服务器时，便会获取远程主机ip、登入口令等信息，作为凭证窃取的一部分发送至攻击者域名。

在使用pam_authenticate函数进行身份验证时，若不是攻击者访问，还会向其命令与控制域C&C发送 DNS 地址 (TXT) 记录请求。TXT 记录的格式为%MACHINEID%.%C2_DOMAIN%。

如果收到响应，恶意软件使用 base64 解码内容，使用Ed25519算法检查内容钥签名，使用 RC4 解密内容，并在生成的 bash 进程中执行 shell 脚本。

6CR4

在该样本中，所有的字符串都是通过简化的CR4算法获取，该CR4算法核心如下：

index = 0j = 0for OdrText in range(textlen):    j = (j+1) % 256    index = (index + S[j]) % 256    S[j],S[index] = S[index],S[j]    hexList[OdrText] ^= S[(S[j] + S[index])%256]

用于接收凭证记录数据

用于下发命令执行数据

凭证存储路径

近期，我们发现一种新型的Linux恶意软件Symbiote被报道出来，该恶意软件被描述为“几乎不可能被检测到”。之所以被命名为Symbiote（中文含义：共生体），也是基于该样本的攻击性质：作为非独立运行的共享库文件加载到其他正在运行的进程中。其目的是窃取远程主机的登录凭证以及后门访问。

下面将对该恶意软件的其中一个样本进行详细分析。

LD_PRELOAD是Linux系统的一个环境变量，它可以影响程序的运行时的链接（Runtime linker），允许你定义在程序运行前优先加载的动态链接库。通过这个环境变量，可以在主程序和其动态链接库的中间加载别的动态链接库。通过覆盖正常的库函数，注入到正在运行的进程，从而达到特定的目的。

该样本使用同名、同参数的自定义函数，通过LD_PRELOAD的方式加载到其他进程中，进而覆盖掉同名的系统函数，优先调用自定义函数，达到调用过程劫持效果。

所有的劫持函数都如下图逻辑：

 图1

该样本会隐藏自身加载到其他程序中的共享库痕迹，以及隐藏一起部署的其他恶意程序。

实现方式为，挂钩readdir、readdir64、stat、statx、fstatat、fstatat64等函数，目标文件在/proc下时，获取执行命令，判断是否为需要隐藏的进程，若是，则跳过该条目信息，继续执行返回下一个无需隐藏的文件条目信息。

 图2

 图3

本样本隐藏的进程名

除了隐藏一起部署的其他恶意程序，还会隐藏自身模块。如用户可通过ldd命令输出指定的每个程序或共享对象所需的共享对象（共享库）。如下图所示，ldd命令会调用execve函数，该样本就通过挂钩execve的方式劫持返回结果。

图4

通过LD_TRACE_LOADED_OBJECTS环境变量判断是否为列出其动态库依赖项（ldd命令）。

图5

具体隐藏过程如下，fork一个子进程去执行命令，返回结果到管道。

图6

在本进程中，使用后面的字符串数据覆盖掉需要隐藏的自身库字符串再输出，达到隐藏效果。

图7

运行效果图如下，该样本目前只是过滤硬编码写入的文件名，改名后就会显示出来，不排除后续版本会更新为自动获取名称。

图8

除了隐藏进程相关的文件，还会隐藏其他非进程的信息存储文件。在Linux系统中，使用ls、dir、tree等命令显示出目录下的文件信息，通过挂钩文件相关函数readdir、readdir64就可以实现文件隐藏。

具体细节如下，读取到需隐藏的文件流时，继续读取下一个，直至该文件流为非隐藏文件或为空才返回。这样就跳过了恶意文件，达到隐藏目的。

图9

 图10

隐藏的文件列表

4网络隐藏

该样本采用了三种流量隐藏的方法，分别是劫持fopen函数、劫持注入eBPF、劫持libpcap库函数。

检测到程序使用fopen读取\proc\net\目录下的文件时，便会生成一个临时文件，读取源文件的每一行并将过滤掉指定端口的数据写入临时文件，最后将过滤后的临时文件句柄返回调用者，达到隐藏效果。

图11

图12

BPF(Berkeley Packet Filter), 中文翻译就是伯克利包过滤器。从字面意思可以知道它的主要功能是用来过滤数据包的。根据介绍，BPF 钩子位于网络驱动中尽可能早的位置，无需进行原始包的复制就可以实现最佳的数据包处理性能，挂载的BPF程序是运行过滤的理想选择。

下面是BPF流程图：

 图13

劫持方法是挂钩函数setsockeopt，该函数用于设置socket状态。

检测到使用SO_ATTACH_FILTER方式调用时，表示该调用用于数据包过滤。此时就会先将自身的BPF字节码添加到其他软件的BPF字节码前，先一步过滤掉需隐藏的流量，再执行其他软件注入的BPF字节码进行过滤。

本样本用此方法过滤TCP连接中指定端口的流量（包括入站出站）。

图14

实现方法是挂钩函数pcap_loop、pcap_stats这两个函数。

挂钩函数pcap_loop、pcap_stats这两个函数，在函数pcap_loop中，劫持捕获流量后执行的回调函数，在恶意回调函数中，匹配流量中需要过滤的域字符串，通过包数计数器加一，丢掉这个流量包。

本样本中用此方法隐藏UDP流量数据。

图15

图16

该样本的主要目的有：窃取用户登入凭证，后门远程访问、文件下载命令执行。

当用户使用ssh或者scp并通过公私密钥key进行远程主机访问时，挂钩后的read便会获取调用程序命令行参数，获取远程主机的地址、连接RSA私钥等信息。

图17

图18

使用简化的CR4算法加密后，存放在/usr/include/cerbot.h文件中，并通过 DNS 地址 (A) 记录请求泄露到攻击者的控制的域名。

图19

图20

该样本劫持Linux系统上可插拔认证模块（PAM）的关键函数pam_set_item、pam_authenticate、pam_acct_mgmt。其中pam_set_item函数用于截取用户登入密码，pam_authenticate函数用于校验密码。

图21

图22

这意味着攻击者可以使用写入的硬编码口令，以任意用户远程访问受害者服务器。

而当其他用户使用远程访问工具（ssh）访问受害者服务器时，便会获取远程主机ip、登入口令等信息，作为凭证窃取的一部分发送至攻击者域名。

在使用pam_authenticate函数进行身份验证时，若不是攻击者访问，还会向其命令与控制域C&C发送 DNS 地址 (TXT) 记录请求。TXT 记录的格式为%MACHINEID%.%C2_DOMAIN%。

如果收到响应，恶意软件使用 base64 解码内容，使用Ed25519算法检查内容钥签名，使用 RC4 解密内容，并在生成的 bash 进程中执行 shell 脚本。

6CR4

在该样本中，所有的字符串都是通过简化的CR4算法获取，该CR4算法核心如下：

index = 0j = 0for OdrText in range(textlen):    j = (j+1) % 256    index = (index + S[j]) % 256    S[j],S[index] = S[index],S[j]    hexList[OdrText] ^= S[(S[j] + S[index])%256]

用于接收凭证记录数据

用于下发命令执行数据

凭证存储路径

近期，我们发现一种新型的Linux恶意软件Symbiote被报道出来，该恶意软件被描述为“几乎不可能被检测到”。之所以被命名为Symbiote（中文含义：共生体），也是基于该样本的攻击性质：作为非独立运行的共享库文件加载到其他正在运行的进程中。其目的是窃取远程主机的登录凭证以及后门访问。

下面将对该恶意软件的其中一个样本进行详细分析。

LD_PRELOAD是Linux系统的一个环境变量，它可以影响程序的运行时的链接（Runtime linker），允许你定义在程序运行前优先加载的动态链接库。通过这个环境变量，可以在主程序和其动态链接库的中间加载别的动态链接库。通过覆盖正常的库函数，注入到正在运行的进程，从而达到特定的目的。

该样本使用同名、同参数的自定义函数，通过LD_PRELOAD的方式加载到其他进程中，进而覆盖掉同名的系统函数，优先调用自定义函数，达到调用过程劫持效果。

所有的劫持函数都如下图逻辑：

 图1

该样本会隐藏自身加载到其他程序中的共享库痕迹，以及隐藏一起部署的其他恶意程序。

实现方式为，挂钩readdir、readdir64、stat、statx、fstatat、fstatat64等函数，目标文件在/proc下时，获取执行命令，判断是否为需要隐藏的进程，若是，则跳过该条目信息，继续执行返回下一个无需隐藏的文件条目信息。

 图2

 图3

本样本隐藏的进程名

除了隐藏一起部署的其他恶意程序，还会隐藏自身模块。如用户可通过ldd命令输出指定的每个程序或共享对象所需的共享对象（共享库）。如下图所示，ldd命令会调用execve函数，该样本就通过挂钩execve的方式劫持返回结果。

图4

通过LD_TRACE_LOADED_OBJECTS环境变量判断是否为列出其动态库依赖项（ldd命令）。

图5

具体隐藏过程如下，fork一个子进程去执行命令，返回结果到管道。

图6

在本进程中，使用后面的字符串数据覆盖掉需要隐藏的自身库字符串再输出，达到隐藏效果。

图7

运行效果图如下，该样本目前只是过滤硬编码写入的文件名，改名后就会显示出来，不排除后续版本会更新为自动获取名称。

图8

除了隐藏进程相关的文件，还会隐藏其他非进程的信息存储文件。在Linux系统中，使用ls、dir、tree等命令显示出目录下的文件信息，通过挂钩文件相关函数readdir、readdir64就可以实现文件隐藏。

具体细节如下，读取到需隐藏的文件流时，继续读取下一个，直至该文件流为非隐藏文件或为空才返回。这样就跳过了恶意文件，达到隐藏目的。

图9

 图10

隐藏的文件列表

4网络隐藏

该样本采用了三种流量隐藏的方法，分别是劫持fopen函数、劫持注入eBPF、劫持libpcap库函数。

检测到程序使用fopen读取\proc\net\目录下的文件时，便会生成一个临时文件，读取源文件的每一行并将过滤掉指定端口的数据写入临时文件，最后将过滤后的临时文件句柄返回调用者，达到隐藏效果。

图11

图12

BPF(Berkeley Packet Filter), 中文翻译就是伯克利包过滤器。从字面意思可以知道它的主要功能是用来过滤数据包的。根据介绍，BPF 钩子位于网络驱动中尽可能早的位置，无需进行原始包的复制就可以实现最佳的数据包处理性能，挂载的BPF程序是运行过滤的理想选择。

下面是BPF流程图：

 图13

劫持方法是挂钩函数setsockeopt，该函数用于设置socket状态。

检测到使用SO_ATTACH_FILTER方式调用时，表示该调用用于数据包过滤。此时就会先将自身的BPF字节码添加到其他软件的BPF字节码前，先一步过滤掉需隐藏的流量，再执行其他软件注入的BPF字节码进行过滤。

本样本用此方法过滤TCP连接中指定端口的流量（包括入站出站）。

图14

实现方法是挂钩函数pcap_loop、pcap_stats这两个函数。

挂钩函数pcap_loop、pcap_stats这两个函数，在函数pcap_loop中，劫持捕获流量后执行的回调函数，在恶意回调函数中，匹配流量中需要过滤的域字符串，通过包数计数器加一，丢掉这个流量包。

本样本中用此方法隐藏UDP流量数据。

图15

图16

该样本的主要目的有：窃取用户登入凭证，后门远程访问、文件下载命令执行。

当用户使用ssh或者scp并通过公私密钥key进行远程主机访问时，挂钩后的read便会获取调用程序命令行参数，获取远程主机的地址、连接RSA私钥等信息。

图17

图18

使用简化的CR4算法加密后，存放在/usr/include/cerbot.h文件中，并通过 DNS 地址 (A) 记录请求泄露到攻击者的控制的域名。

图19

图20

该样本劫持Linux系统上可插拔认证模块（PAM）的关键函数pam_set_item、pam_authenticate、pam_acct_mgmt。其中pam_set_item函数用于截取用户登入密码，pam_authenticate函数用于校验密码。

图21

图22

这意味着攻击者可以使用写入的硬编码口令，以任意用户远程访问受害者服务器。

而当其他用户使用远程访问工具（ssh）访问受害者服务器时，便会获取远程主机ip、登入口令等信息，作为凭证窃取的一部分发送至攻击者域名。

在使用pam_authenticate函数进行身份验证时，若不是攻击者访问，还会向其命令与控制域C&C发送 DNS 地址 (TXT) 记录请求。TXT 记录的格式为%MACHINEID%.%C2_DOMAIN%。

如果收到响应，恶意软件使用 base64 解码内容，使用Ed25519算法检查内容钥签名，使用 RC4 解密内容，并在生成的 bash 进程中执行 shell 脚本。

6CR4

在该样本中，所有的字符串都是通过简化的CR4算法获取，该CR4算法核心如下：

index = 0j = 0for OdrText in range(textlen):    j = (j+1) % 256    index = (index + S[j]) % 256    S[j],S[index] = S[index],S[j]    hexList[OdrText] ^= S[(S[j] + S[index])%256]

用于接收凭证记录数据

用于下发命令执行数据

凭证存储路径