Plague Backdoor
Експерти по киберсигурност откриха неизвестен досега и силно уклончив злонамерен софтуер за Linux, наречен Plague. Въпреки че работи незабелязано в продължение на около година, този злонамерен заден панел демонстрира високо ниво на постоянство и скритост, позволявайки на атакуващите тайно да проникват в системи и да поддържат неоторизиран достъп.
Съдържание
Скрито на видно място: Превръщане на PAM в оръжие за скрит достъп
Plague се маскира като злонамерен Pluggable Authentication Module (PAM), основен компонент, използван в Linux и UNIX системи за обработка на удостоверяване на приложения и услуги. Чрез вграждането си в тази инфраструктура за удостоверяване, Plague е в състояние да:
- Безшумно заобикаляне на механизмите за удостоверяване на системата
- Заснемане на потребителски идентификационни данни
- Установяване на постоянен SSH достъп без откриване
Тъй като PAM модулите се зареждат в привилегировани процеси, злонамерена имплементация като Plague има способността да работи с повишени разрешения, често избягвайки традиционните инструменти за откриване и наблюдение.
Невидимо и развиващо се: Неоткрито от охранителните системи
Изследователите са идентифицирали няколко различни образци на Plague, нито един от които не е маркиран като злонамерен от антивирусните скенери. Откриването на множество уникални артефакти сочи към непрекъснато развитие и усъвършенстване от страна на отговорните заплахи, което предполага, че Plague е част от дългосрочна офанзивна стратегия.
Арсеналът на чумата: Таен достъп и антикриминалистика
Plague е оборудван с набор от усъвършенствани функции, които допринасят за неговата неуклонимост и способност да действа незабелязано:
- Статични идентификационни данни, които позволяват таен, многократен достъп
- Механизми против отстраняване на грешки и обфускация на низове за възпрепятстване на обратното инженерство
Намеса в околната среда, за да се прикрият следите, включително:
- Премахване на променливи на средата, свързани с SSH (SSH_CONNECTION, SSH_CLIENT)
- Пренасочване на историята на шел (HISTFILE) към /dev/null за елиминиране на лог файловете на изпълнените команди
Тези тактики са специално разработени, за да премахнат всякакви криминалистични доказателства за присъствието на нападател в компрометираната система.
Тихият оцелял: Упоритост и обфускация в основата си
Интеграцията на Plague в стека за удостоверяване му позволява да оцелее след системни актуализации и да работи незабележимо, което го прави необичайно устойчива заплаха. Многопластовите му техники за обфускация и манипулирането на променливите на системната среда драстично намаляват видимостта му, което го прави сериозно предизвикателство за традиционните механизми за откриване.
Заключение: Опасна заплаха, изискваща бдителност
Откриването на Plague подчертава нарастващата сложност на зловредния софтуер, насочен към Linux. Като се вгражда в критични системни компоненти и използва интелигентни антикриминалистични методи, той представлява значителен риск за организациите, разчитащи на Linux инфраструктура. Проактивното наблюдение, редовните одити на PAM модулите и откриването на аномалии въз основа на поведението са от съществено значение за борбата със заплахи от този калибър.
