Plague Backdoor
Kibernetinio saugumo ekspertai aptiko anksčiau nežinomą ir labai lengvai aptinkamą „Linux“ kenkėjišką programą, pavadintą „Plague“. Nors ši kenkėjiška galinė durų programa veikė nepastebimai maždaug metus, ji demonstravo aukštą atkaklumo ir nepastebimo lygio lygį, leisdama užpuolikams slapta infiltruotis į sistemas ir palaikyti neteisėtą prieigą.
Turinys
Paslėpta akyse: PAM panaudojimas ginklu slaptai prieigai
„Plague“ apsimeta kenkėjišku prijungiamu autentifikavimo moduliu (PAM) – pagrindiniu komponentu, naudojamu „Linux“ ir UNIX sistemose programų ir paslaugų autentifikavimui tvarkyti. Integruodamasis į šią autentifikavimo infrastruktūrą, „Plague“ gali:
- Tyliai apeiti sistemos autentifikavimo mechanizmus
- Užfiksuoti naudotojo kredencialus
- Užmegzkite nuolatinę SSH prieigą be aptikimo
Kadangi PAM moduliai įkeliami į privilegijuotus procesus, nesąžininga programa, tokia kaip „Plague“, gali veikti su padidintomis teisėmis, dažnai apeidama tradicines aptikimo ir stebėjimo priemones.
Nematomas ir besivystantis: Apsaugos sistemų nepastebėtas
Tyrėjai nustatė kelis skirtingus „Plague“ pavyzdžius, tačiau kenkėjiškų programų skeneriai nė vieno nepažymėti kaip kenkėjiško. Kelių unikalių artefaktų atradimas rodo, kad atsakingi grėsmės subjektai nuolat tobulina ir tobulina virusą, o tai leidžia manyti, kad „Plague“ yra ilgalaikės puolimo strategijos dalis.
Maro arsenalas: slapta prieiga ir kova su teismo ekspertize
Maras aprūpintas pažangių funkcijų rinkiniu, kuris prisideda prie jo išvengiamumo ir gebėjimo veikti nepastebimai:
- Statiniai prisijungimo duomenys, leidžiantys slaptą ir pakartotinę prieigą
- Apsaugos nuo derinimo mechanizmai ir eilučių maskavimas, siekiant trukdyti atvirkštinei inžinerijai
Aplinkos klastojimas siekiant paslėpti savo pėdsakus, įskaitant:
- Su SSH susijusių aplinkos kintamųjų (SSH_CONNECTION, SSH_CLIENT) nustatymo panaikinimas
- Apvalkalo istorijos (HISTFILE) nukreipimas į /dev/null, siekiant pašalinti vykdomų komandų žurnalus
Ši taktika yra specialiai sukurta siekiant pašalinti bet kokius teismo ekspertizės įrodymus apie užpuoliko buvimą pažeistoje sistemoje.
Tylusis išgyvenęs: atkaklumas ir užmaskavimas iš esmės
Dėl to, kad „Plague“ virusas yra integruotas į autentifikavimo sistemą, jis išgyvena sistemos atnaujinimus ir veikia nematomas, todėl yra neįprastai atsparus. Jo sluoksniuotos klaidinimo technikos ir sistemos aplinkos kintamųjų manipuliavimas smarkiai sumažina jo matomumą, todėl jis tampa dideliu iššūkiu tradiciniams aptikimo mechanizmams.
Išvada: pavojinga grėsmė, reikalaujanti budrumo
„Plague“ viruso atradimas pabrėžia vis sudėtingesnę „Linux“ kenkėjišką programinę įrangą. Įsitvirtinusi svarbiausiuose sistemos komponentuose ir naudodama išmanius antiforenzikos metodus, ji kelia didelę grėsmę organizacijoms, kurios naudojasi „Linux“ infrastruktūra. Kovojant su tokio lygio grėsmėmis, būtina imtis aktyvių stebėjimų, reguliarių PAM modulių auditų ir elgesiu pagrįstų anomalijų aptikimo priemonių.
