新型 OrBit 恶意软件悄然侵犯 Linux 系统

关键要点

• Intezer Labs 发现 Linux 系统受到了新型 OrBit 恶意软件的攻击。
• OrBit 能实现隐蔽的数据外泄和进程感染。
• 被 OrBit 感染的系统会修改 LD_PRELOAD 环境变量以便于共享库劫持。
• 恶意软件使用先进的规避技术，能够保持持久性并提供 SSH 远程访问功能。

最近，Intezer Labs 的研究人员发现，运行 Linux 的系统正遭受到 OrBit恶意软件的威胁，这种恶意软件不仅能够实现隐秘的数据外泄，还能进行进程感染。根据

的报道，被 OrBit 感染的系统会对其 LD_PRELOAD 环境变量进行修改，以方便进行共享库劫持。

研究员 Nicole Fishbein 指出：“该恶意软件实现了先进的规避技术，并通过钩取关键函数在受害机器上获得持久性，为威胁行为者提供通过 SSH的远程访问能力，收集凭证，并记录 TTY 命令。一旦该恶意软件安装，它将感染机器上所有正在运行的进程，包括新的进程。”

OrBit 的出现标志着近期针对 Linux 系统的新一波恶意软件攻击，包括 Symbiote、BPFDoor 和 Syslogk，这些恶意软件并不像
OrBit 那样依赖于文件进行数据存储。Fishbein还补充表示：“这款恶意软件尤其令人关注的是它对受害者机器上的库进行几乎封闭的钩取，这使得恶意软件能够保持持久性并规避检测，同时盗取信息和设置 SSH后门。”

参考表格：最近 Linux 恶意软件行情

恶意软件名 | 功能特点
—|—
OrBit | 数据盗取、进程感染、持久性
Symbiote | 监控网络流量、劫持流量
BPFDoor | 捕获网络接口、提供反弹终端
Syslogk | 钩取系统日志、隐蔽操作

Linux 系统安全性正面临新的挑战，用户需增强防范意识，保持系统更新，应用安全措施以减少潜在威胁。