新型OrBit恶意程序曝光，针对Linux系统恶意程序呈增长态势

最近的网络安全研究中，研究人员揭开了一种此前从未被发现的 Linux 恶意程序 OrBit 的面纱，这意味着针对Linux操作系统的恶意程序呈现一个剧增的趋势。

根据中国网络安全行业门户极牛网(GeekNB.com)的梳理，该恶意软件的名称来自用于临时存储已执行命令输出的文件名之一（“/tmp/.orbit”），该恶意软件实现了先进的规避技术，并通过Hook关键功能在系统上获得持久性，为黑客提供通过 SSH 的远程访问能力，以及获取凭据记录 TTY 命令等。

OrBit恶意程序是继BPFDoor、Symbiote和Syslogk之后短短三个月内曝光的第四个针对 Linux 系统的恶意软件。该恶意软件的功能和Symbiote相似，因为它旨在感染受感染机器上所有正在运行的进程。但与后者利用 LD_PRELOAD 环境变量来加载共享对象不同，OrBit 采用了两种不同的方法。

OrBit恶意程序采用的第一种方法是将共享对象添加到加载程序使用的配置文件中，第二种方法是修补加载程序本身的二进制文件，以便加载恶意共享对象。

OrBit恶意程序攻击链从一个ELF 释放器文件开始，该文件负责提取有效攻击载荷（libdl.so）并将其添加到动态链接器正在加载的共享库中。

流氓共享库被设计为Hook来自三个库的函数，libc、libcap 和可插入身份验证模块 (PAM)，导致现有和新进程使用修改后的函数，基本上允许它获取凭据、隐藏网络活动和设置通过 SSH 远程访问主机，并实现不为人知的隐藏状态。

OrBit恶意程序后门的最终目标是通过Hook读取和写入函数来窃取信息，以捕获系统上已执行进程正在写入的数据，包括 bash 和 sh 命令，并将其结果存储在特定文件中。