文章总结： OrBitRootkit是基于公开工具Medusa的修改版本，通过挂钩系统函数实现隐蔽持久化，窃取SSH和sudo凭据并存储在隐藏目录。研究发现至少三个黑客组织使用该工具，2025年版本新增身份验证伪造功能。防御建议包括监控异常文件和使用YARA规则检测。 综合评分： 82 文章分类： 恶意软件,漏洞分析,威胁情报,安全工具,终端安全

黑客利用 OrBit Rootkit 从 Linux 系统中窃取 SSH 和 sudo 凭据

会杀毒的单反狗 会杀毒的单反狗

爱拍照的老李

2026年5月16日 09:00 湖北

在小说阅读器读本章

去阅读

导读

一个名为 OrBit 的rootkit多年来一直默默针对 Linux 系统，窃取登录凭据并在受感染的设备中深度隐藏，而不会触发大多数安全工具。

最新研究表明，曾经被认为是定制的威胁实际上是公开可用的 rootkit 的修改版本，并通过多个黑客组织在全球范围内传播。

OrBit 的工作原理是将自身嵌入到 Linux 系统的核心中，接入四十多个基本系统功能，从而使其几乎完全不可见。

一旦进入机器内部，它就会监听通过 SSH 和 sudo 进行的登录尝试，捕获用户名和密码，并将它们保存在一个标准系统扫描无法检测到的隐藏目录中。

攻击者随后通过秘密的 SSH 后门重新连接到被入侵的系统，而无需通过互联网发送命令。

Intezer 的研究人员在一份报告中表示，他们发现 OrBit 根本不是原创代码。它实际上是基于一个名为 Medusa 的公开 rootkit 构建的，该 rootkit 于 2022 年 12 月发布在 GitHub 上。

黑客的操作工作不是编写新代码，而是配置现有源文件、轮换密码和更改安装路径以保持隐蔽。

OrBit Rootkit

Intezer 的分析追踪了 2022 年至 2026 年初的十几个样本。

该团队对每个样本进行了静态和差异分析，发现了两条不同的构建路径：一条是功能齐全的版本，称为 Lineage A，它包含了完整的攻击工具包；另一条是精简版，称为 Lineage B，它舍弃了一些功能，以减少资源占用。

Lineage B 似乎在 2024 年后就停止出现，这表明运营商可能已经重新整合到主版本中。

OrBit 以共享库文件的形式部署在目标 Linux 机器上。它通过修改动态链接器配置来实现持久化，使恶意库自动加载到系统上运行的每个进程中。

从这个位置，它可以拦截文件读取、目录列表和网络连接数据，使自己对管理员和安全工具都不可见。

该恶意软件将捕获的凭据和配置数据存储在名为 /lib/libseconf/ 的隐藏目录中，由于 rootkit 自身的钩子，标准工具无法看到该目录。

最显著的功能提升出现在 2025 年，当时最新版本添加了一个名为 pam_sm_authenticate 的钩子，这是一个服务器端身份验证功能。

早期版本只能被动地收集用户输入的凭据，而这个新版本还可以伪造身份验证结果，这意味着攻击者可以随意批准或拒绝在被入侵的系统上的登录尝试。

同年，出现了一种新的两阶段交付链：感染器嵌入投放器，然后投放器提取并安装 rootkit，同时创建一个 cron 作业从外部域获取更新的有效载荷。

多个黑客组织正在利用这个后门

至少有三个不同的黑客组织一直在使用 OrBit。

Mandiant 追踪到的网络间谍组织 UNC3886使用了相同的代码库，但具有特定的 0xAA 加密密钥、不同的凭据和与 Intezer 的 2024 Lineage A 样本完全匹配的安装路径。

CrowdStrike 在其 2026 年全球威胁报告中指出，以 Embargo 勒索软件而闻名的网络犯罪组织 BLOCKADE SPIDER 使用 OrBit 悄悄维持对 VMware 虚拟化环境的访问权限。

2025 年观察到的第三次攻击活动使用了与 RHOMBUS（一个于 2020 年首次报道的基于 Linux 的僵尸网络）相关的投放器架构相同的投放器架构，这两个投放器共享同一个 C2 域，解析到俄罗斯的基础设施。

建议防御者监控意外目录中出现的 sshpass.txt、.logpam 和 .ports 等文件名，因为无论哪个操作员编译了 rootkit，这些都是 Medusa 构建管道的固定产物。

YARA 规则使用可变键解码 XOR 字符串表，并匹配已知的明文条目，可以捕获此系列的任何版本，即使是使用新凭据和重命名安装路径的构建版本。

技术报告：

《OrBit重现：追踪一个开源 Linux rootkit 四年来的分支和部署历程》

OrBit (Re)turns: Tracking an open-source Linux rootkit across four years of forks and deployments

新闻链接：

Hackers Use OrBit Rootkit to Harvest SSH and Sudo Credentials From Linux Systems

扫码关注

军哥网络安全读报

讲述普通人能听懂的安全故事

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：爱拍照的老李 会杀毒的单反狗 会杀毒的单反狗《黑客利用 OrBit Rootkit 从 Linux 系统中窃取 SSH 和 sudo 凭据》