Plague Backdoor
Kiberdrošības eksperti ir atklājuši iepriekš nezināmu un ļoti viegli pamanāmu Linux ļaunprogrammatūru ar nosaukumu Plague. Lai gan aptuveni gadu tā darbojās nemanīta, šī ļaunprātīgā aizmugurējā durvju sistēma ir demonstrējusi augstu noturības un slepenības līmeni, ļaujot uzbrucējiem slepeni iefiltrēties sistēmās un uzturēt nesankcionētu piekļuvi.
Satura rādītājs
Slēpts redzamā vietā: PAM izmantošana ieroča veidā slepenai piekļuvei
Plague maskējas kā ļaunprātīgs pievienojams autentifikācijas modulis (PAM) — pamatkomponents, ko izmanto Linux un UNIX sistēmās, lai apstrādātu lietojumprogrammu un pakalpojumu autentifikāciju. Iekļaujoties šajā autentifikācijas infrastruktūrā, Plague spēj:
- Apiet sistēmas autentifikācijas mehānismus klusi
- Lietotāja akreditācijas datu iegūšana
- Izveidojiet pastāvīgu SSH piekļuvi bez atklāšanas
Tā kā PAM moduļi tiek ielādēti privileģētos procesos, tāda negodīga ieviešana kā Plague spēj darboties ar paaugstinātām atļaujām, bieži vien apejot tradicionālos noteikšanas un uzraudzības rīkus.
Neredzams un attīstās: Drošības dzinēju nepamanīts
Pētnieki ir identificējuši vairākus dažādus Plague paraugus, no kuriem neviens pretļaunatūras skeneri nav atzīmējis kā ļaunprātīgu. Vairāku unikālu artefaktu atklāšana norāda uz atbildīgo apdraudējumu izraisītāju nepārtrauktu attīstību un pilnveidošanu, kas liek domāt, ka Plague ir daļa no ilgtermiņa ofensīvas stratēģijas.
Mēra arsenāls: slepena piekļuve un pretkriminālistika
Mēris ir aprīkots ar virkni uzlabotu funkciju, kas veicina tā izvairīšanās spēju un spēju darboties nemanāmi:
- Statiskie akreditācijas dati, lai nodrošinātu slepenu, atkārtotu piekļuvi
- Atkļūdošanas novēršanas mehānismi un virkņu slēpšana, lai kavētu reverso inženieriju
Vides manipulācijas, lai slēptu tās pēdas, tostarp:
- Ar SSH saistītu vides mainīgo (SSH_CONNECTION, SSH_CLIENT) atcelšana
- Čaulas vēstures (HISTFILE) novirzīšana uz /dev/null, lai izslēgtu izpildīto komandu žurnālus
Šīs taktikas ir īpaši izstrādātas, lai noņemtu jebkādus kriminālistiskos pierādījumus par uzbrucēja klātbūtni apdraudētajā sistēmā.
Klusais izdzīvotājs: neatlaidība un apmulsināšana tās būtībā
Plague integrācija autentifikācijas kaudzē ļauj tam pārdzīvot sistēmas atjauninājumus un darboties nemanāmi, padarot to par neparasti noturīgu apdraudējumu. Tā daudzslāņu apmulsināšanas metodes un sistēmas vides mainīgo manipulācijas ievērojami samazina tā redzamību, padarot to par nopietnu izaicinājumu tradicionālajiem noteikšanas mehānismiem.
Secinājums: Bīstams drauds, kas prasa modrību
Plague atklāšana izceļ Linux ļaunprogrammatūras pieaugošo sarežģītību. Iekļaujoties kritiskos sistēmas komponentos un izmantojot gudras pretforenzikas metodes, tā rada ievērojamu risku organizācijām, kas paļaujas uz Linux infrastruktūru. Proaktīva uzraudzība, regulāras PAM moduļu revīzijas un uz uzvedību balstīta anomāliju noteikšana ir būtiska šāda kalibra draudu apkarošanā.
