Plague Backdoor

یک بدافزار لینوکسی ناشناخته و بسیار فرار به نام Plague توسط کارشناسان امنیت سایبری کشف شده است. با وجود اینکه این درِ پشتی مخرب تقریباً یک سال به صورت ناشناس فعالیت می‌کرد، سطح پیشرفته‌ای از پایداری و پنهان‌کاری را نشان داده و به مهاجمان اجازه می‌دهد تا مخفیانه به سیستم‌ها نفوذ کرده و دسترسی غیرمجاز خود را حفظ کنند.

پنهان در دید ساده: استفاده از PAM به عنوان سلاح برای دسترسی مخفیانه

بدافزار Plague خود را به عنوان یک ماژول احراز هویت قابل اتصال (PAM) مخرب جا می‌زند، که یک جزء اصلی مورد استفاده در سیستم‌های لینوکس و یونیکس برای مدیریت احراز هویت برنامه‌ها و سرویس‌ها است. با جاسازی خود در این زیرساخت احراز هویت، Plague قادر است:

• دور زدن مکانیزم‌های احراز هویت سیستم به صورت بی‌صدا
• ثبت اطلاعات کاربری
• ایجاد دسترسی مداوم به SSH بدون شناسایی

از آنجا که ماژول‌های PAM در فرآیندهای دارای امتیاز بالا بارگذاری می‌شوند، یک پیاده‌سازی مخرب مانند Plague این قابلیت را دارد که با مجوزهای بالا عمل کند و اغلب از ابزارهای تشخیص و نظارت سنتی فرار کند.

نادیده و در حال تکامل: توسط موتورهای امنیتی شناسایی نشده است

محققان چندین نمونه مختلف از بدافزار Plague را شناسایی کرده‌اند که هیچ‌کدام توسط اسکنرهای ضدبدافزار به عنوان بدافزار علامت‌گذاری نشده‌اند. کشف چندین نمونه منحصر به فرد، به توسعه و اصلاح مداوم توسط عوامل تهدیدکننده مسئول اشاره دارد و نشان می‌دهد که Plague بخشی از یک استراتژی تهاجمی بلندمدت است.

زرادخانه طاعون: دسترسی پنهان و ضد پزشکی قانونی

ویروس طاعون به مجموعه‌ای از ویژگی‌های پیشرفته مجهز است که به فرار بودن و توانایی آن در فعالیت مخفیانه کمک می‌کند:

• اعتبارنامه‌های ایستا برای فعال کردن دسترسی مخفی و مکرر
• مکانیسم‌های ضد اشکال‌زدایی و مبهم‌سازی رشته برای جلوگیری از مهندسی معکوس

دستکاری‌های زیست‌محیطی برای پنهان کردن ردپای خود، از جمله:

• غیرفعال کردن متغیرهای محیطی مرتبط با SSH (SSH_CONNECTION، SSH_CLIENT)
• تغییر مسیر تاریخچه پوسته (HISTFILE) به ‎/dev/null‎ برای حذف گزارش‌های دستورات اجرا شده

این تاکتیک‌ها به‌طور خاص برای حذف هرگونه شواهد پزشکی قانونی از حضور مهاجم در سیستم آسیب‌دیده طراحی شده‌اند.

بازمانده خاموش: پایداری و ابهام در هسته آن

ادغام Plague در پشته احراز هویت به آن اجازه می‌دهد تا از به‌روزرسانی‌های سیستم جان سالم به در ببرد و به صورت نامرئی عمل کند، که آن را به یک تهدید فوق‌العاده مقاوم تبدیل می‌کند. تکنیک‌های مبهم‌سازی لایه‌ای و دستکاری متغیرهای محیط سیستم، قابلیت مشاهده آن را به شدت کاهش می‌دهد و آن را به یک چالش بزرگ برای مکانیسم‌های تشخیص سنتی تبدیل می‌کند.

نتیجه‌گیری: تهدیدی خطرناک که هوشیاری می‌طلبد

کشف Plague، پیچیدگی رو به رشد بدافزارهای هدف قرار دهنده لینوکس را برجسته می‌کند. این بدافزار با جاسازی خود در اجزای حیاتی سیستم و استفاده از روش‌های هوشمندانه ضد جرم‌شناسی، خطر قابل توجهی را برای سازمان‌هایی که به زیرساخت لینوکس متکی هستند، ایجاد می‌کند. نظارت پیشگیرانه، ممیزی‌های منظم ماژول‌های PAM و تشخیص ناهنجاری مبتنی بر رفتار، در مبارزه با تهدیداتی از این دست ضروری هستند.