OrBit Linux Rootkit：由自訂惡意程式變成可重用開源 Rootkit

OrBit 如何在 Linux 系統內部感染

與一些傳統 Linux 惡意程式不同，OrBit 並不是單純以一個可執行檔運行，而是透過改變程式載入 shared library 的方式來運作。

它會劫持執行流程，使惡意程式碼在程式啟動或呼叫某些系統函式時自動載入。

這種方法帶來幾個攻擊優勢：

• 惡意行為隱藏在合法程序內
• 安全工具看到的可能只是正常系統活動
• rootkit 可以攔截指令與收集敏感資料

研究顯示，OrBit 能夠 hook 數十個系統函式，監控系統活動、竊取憑證並操控程序行為，同時幾乎沒有明顯痕跡。

由於惡意 library 會被多個程序載入，rootkit 在安裝後幾乎會擴散到整個系統。

重大轉變：由自訂惡意程式變成開源 fork

早期報告將 OrBit 描述為一種全新惡意程式，但後續分析發現，它其實是 GitHub 上開源 Medusa rootkit 的修改版本。

這個發現大大改變了研究人員對威脅的理解。

與其說是單一攻擊者維護的專有工具，不如說 OrBit 屬於一個可被複製的 rootkit 生態系統。攻擊者只需要 fork 公開程式碼、調整設定或加入小改動，就能在不同攻擊活動中使用。

安全研究顯示，在過去數年已觀察到多次部署案例，顯示不同操作者可能在重用同一套基礎程式碼，而不是從零開始寫新的 rootkit。

OrBit 攻擊活動中常見能力

不同研究報告中，多個 OrBit 樣本都出現以下能力：

憑證竊取

OrBit 會收集 SSH 與 sudo 憑證，讓攻擊者可以在 Linux 環境中提升權限或橫向移動。

全系統程序 hooking

透過 shared libraries 注入惡意程式碼，OrBit 可以影響系統上所有正在運行及新啟動的程序。

指令記錄與資料收集

惡意程式會記錄使用者輸入的指令，並可能把輸出結果存到隱藏檔案，例如 /tmp/.orbit。

高度隱匿

由於 rootkit 在合法程序內運作並攔截系統函式，很多傳統安全工具難以察覺其存在。

傳播方式：已知與未知

公開研究對 OrBit 安裝後的行為描述相當詳細，但對最初入侵方式的證據仍然有限。

目前能確認的只有：

• 完整部署需要 root 或高權限。
• 可以持久化安裝，也可以只作記憶體植入。

至於常見的入侵方式，例如：

• 釣魚攻擊
• 漏洞利用
• SSH 暴力破解

現有公開資料並未提供可靠證據，因此仍屬未確認。

企業防禦者應監察的跡象

由於 OrBit 可能被不同攻擊者 fork 出不同版本，防禦策略應著重行為特徵（behavioral indicators），而不是單一檔案雜湊。

可疑的 shared library 或 dynamic linker 行為

OrBit 依賴劫持 shared library 或修改 loader 設定，使惡意程式碼在程式執行時自動載入。

憑證截取活動

例如異常的 SSH 認證流程或 sudo 憑證處理行為。

多程序注入模式

同一個 library 在大量程序中出現異常注入，可能代表 rootkit 活動。

隱藏檔案儲存指令輸出

某些變種會把指令結果儲存在類似 /tmp/.orbit 的檔案。

Linux rootkit 相關 IOC

研究人員亦整理了多個 Linux rootkit 的 IOC，例如可疑檔案路徑、系統 artefacts 等，可用於主機取證分析。

為何 OrBit 對企業安全特別重要

OrBit 最大的風險其實不是單一技術，而是可重用性。

因為它源自開源 rootkit，攻擊者可以輕易 fork、修改並再次部署。這大大降低了攻擊 Linux 基礎設施（例如雲端伺服器或企業 Linux 系統）的門檻。

因此安全團隊更應把 OrBit 視為一種攻擊技術模式：

• shared‑library 劫持
• 憑證竊取
• 全系統程序持久化

集中監察這些行為特徵，通常比依賴靜態簽名更能有效偵測目前及未來的 OrBit 變種。