Plague Backdoor
Kyberturvallisuusasiantuntijat ovat löytäneet aiemmin tuntemattoman ja erittäin helposti havaittavan Linux-haittaohjelman nimeltä Plague. Vaikka tämä haitallinen takaovi on toiminut huomaamatta noin vuoden, se on osoittanut pitkälle edennyttä sitkeyttä ja hiiviskelyä, minkä ansiosta hyökkääjät ovat voineet salaa tunkeutua järjestelmiin ja ylläpitää luvatonta pääsyä.
Sisällysluettelo
Piilotettu näkyville: PAM:n aseistaminen piilotettua pääsyä varten
Plague naamioituu haitalliseksi Pluggable Authentication Moduleksi (PAM), joka on Linux- ja UNIX-järjestelmissä käytetty ydinosa sovellusten ja palveluiden todennuksen käsittelyyn. Upottamalla itsensä tähän todennusinfrastruktuuriin Plague pystyy:
- Ohita järjestelmän todennusmekanismit hiljaisesti
- Käyttäjätunnistetietojen tallentaminen
- Muodosta pysyvä SSH-yhteys ilman havaitsemista
Koska PAM-moduulit ladataan etuoikeutettuihin prosesseihin, Plaguen kaltainen hakkerointiyritys pystyy toimimaan laajennetuilla käyttöoikeuksilla, usein välttäen perinteiset tunnistus- ja valvontatyökalut.
Näkymätön ja kehittyvä: Turvallisuusmoottorit eivät huomaa
Tutkijat ovat tunnistaneet useita erilaisia Plague-näytteitä, joista yhtäkään ei ole merkitty haitalliseksi haittaohjelmien torjuntaohjelmien skannereissa. Useiden ainutlaatuisten artefaktien löytyminen viittaa uhkatoimijoiden jatkuvaan kehitystyöhön ja hienosäätöön, mikä viittaa siihen, että Plague on osa pitkän aikavälin hyökkäysstrategiaa.
Ruton arsenaali: Salainen pääsy ja rikostutkinnan torjunta
Rutto on varustettu joukolla edistyneitä ominaisuuksia, jotka edistävät sen väistökykyä ja kykyä toimia huomaamatta:
- Staattiset tunnistetiedot salaisen ja toistuvan käytön mahdollistamiseksi
- Virheenkorjauksenestomekanismit ja merkkijonojen hämärtäminen käänteisen suunnittelun estämiseksi
Ympäristön manipulointi sen jälkien peittämiseksi, mukaan lukien:
- SSH-ympäristömuuttujien (SSH_CONNECTION, SSH_CLIENT) poistaminen käytöstä
- Ohjataan komentotulkin historiatiedot (HISTFILE) uudelleen hakemistoon /dev/null suoritettujen komentojen lokien poistamiseksi
Nämä taktiikat on erityisesti suunniteltu poistamaan kaikki rikostekniset todisteet hyökkääjän läsnäolosta vaarantuneessa järjestelmässä.
Hiljainen selviytyjä: pysyvyys ja hämärtyminen ytimessään
Ruton integrointi todennuspinoon mahdollistaa sen selviytymisen järjestelmäpäivityksistä ja toiminnan näkymättömänä, mikä tekee siitä epätavallisen kestävän uhan. Sen kerrokselliset hämärtämistekniikat ja järjestelmäympäristömuuttujien manipulointi vähentävät merkittävästi sen näkyvyyttä, mikä tekee siitä huomattavan haasteen perinteisille tunnistusmekanismeille.
Johtopäätös: Vaarallinen uhka, joka vaatii valppautta
Plaguen löytyminen korostaa Linuxiin kohdistuvien haittaohjelmien kasvavaa monimutkaisuutta. Upottamalla itsensä kriittisiin järjestelmäkomponentteihin ja käyttämällä älykkäitä antiforensisia menetelmiä se aiheuttaa merkittävän riskin Linux-infrastruktuurista riippuvaisille organisaatioille. Ennakoiva valvonta, säännölliset PAM-moduulien tarkastukset ja käyttäytymiseen perustuva poikkeamien havaitseminen ovat olennaisia tämän luokan uhkien torjunnassa.
