Plague Backdoor
Küberturvalisuse eksperdid on avastanud varem tundmatu ja väga kergesti tabatava Linuxi pahavara nimega Plague. Kuigi see pahatahtlik tagauks on umbes aasta aega avastamata tegutsenud, on see näidanud üles kõrget püsivust ja varjatust, võimaldades ründajatel salaja süsteemidesse tungida ja volitamata juurdepääsu säilitada.
Sisukord
Varjatud silmist: PAM-i relvastamine varjatud juurdepääsu saamiseks
Plague maskeerub pahatahtlikuks ühendatavaks autentimismooduliks (PAM), mis on Linuxi ja UNIXi süsteemides rakenduste ja teenuste autentimiseks kasutatav põhikomponent. Sellesse autentimisinfrastruktuuri integreerudes suudab Plague:
- Süsteemi autentimismehhanismide vaikne möödaminek
- Kasutaja mandaatide jäädvustamine
- Püsiva SSH-juurdepääsu loomine ilma tuvastamiseta
Kuna PAM-moodulid laaditakse privilegeeritud protsessidesse, on sellisel petturitest rakendusel nagu Plague võimalik töötada kõrgendatud õigustega, sageli traditsioonilistest tuvastus- ja jälgimisvahenditest mööda hiilides.
Nähtamatu ja arenev: turvamootorite poolt märkamatu
Teadlased on tuvastanud mitu erinevat Plague'i näidist, millest ühtegi ei ole pahavaratõrje skannerid pahatahtlikuks märkinud. Mitmete unikaalsete artefaktide avastamine viitab vastutavate ohutegijate pidevale arendusele ja täiustamisele, mis viitab sellele, et Plague on osa pikaajalisest ründavast strateegiast.
Katku arsenal: varjatud juurdepääs ja kohtuekspertiisi vastane võitlus
Katk on varustatud täiustatud funktsioonide komplektiga, mis aitavad kaasa selle vältimisvõimele ja võimele märkamatult tegutseda:
- Staatilised volikirjad salajase ja korduva juurdepääsu võimaldamiseks
- Silumisvastased mehhanismid ja stringi hägustamine pöördprojekteerimise takistamiseks
Keskkonnaalane manipuleerimine jälgede varjamiseks, sealhulgas:
- SSH-ga seotud keskkonnamuutujate (SSH_CONNECTION, SSH_CLIENT) tühistamine
- Shelli ajaloo (HISTFILE) ümbersuunamine /dev/null kausta, et eemaldada käivitatud käskude logid
Need taktikad on spetsiaalselt loodud selleks, et eemaldada kõik kohtuekspertiisi tõendid ründaja kohaloleku kohta ohustatud süsteemis.
Vaikne ellujääja: püsivus ja hägusus selle tuumas
Plague'i integreerimine autentimisvirna võimaldab tal süsteemiuuenduste järel ellu jääda ja nähtamatult tegutseda, muutes selle ebatavaliselt vastupidavaks ohuks. Selle kihilised hägustamistehnikad ja süsteemi keskkonnamuutujate manipuleerimine vähendavad drastiliselt selle nähtavust, muutes selle traditsioonilistele tuvastusmehhanismidele tohutuks väljakutseks.
Kokkuvõte: ohtlik oht, mis nõuab valvsust
Plague'i avastamine rõhutab Linuxi sihtivate pahavarade kasvavat keerukust. Kriitilistesse süsteemikomponentidesse kinnistudes ja nutikaid kohtuekspertiisivastaseid meetodeid kasutades kujutab see endast märkimisväärset ohtu Linuxi infrastruktuurist sõltuvatele organisatsioonidele. Sellise kaliibriga ohtude vastu võitlemisel on hädavajalik ennetav jälgimine, PAM-moodulite regulaarsed auditid ja käitumispõhine anomaaliate tuvastamine.
