Oferta rabatowa na wiele licencji
Baza danych zagrożeń Złośliwe oprogramowanie Plague Backdoor

Plague Backdoor

Do Mezo w Złośliwe oprogramowanie, Tylne drzwi
Przetłumacz na:

Eksperci ds. cyberbezpieczeństwa odkryli nieznane wcześniej i niezwykle nieuchwytne złośliwe oprogramowanie dla systemu Linux o nazwie Plague. Pomimo działania niewykrytego przez około rok, ten złośliwy backdoor wykazał się zaawansowanym poziomem uporczywości i ukrycia, umożliwiając atakującym dyskretną infiltrację systemów i uzyskanie nieautoryzowanego dostępu.

Ukryte na widoku: broń PAM do ukrytego dostępu

Plague podszywa się pod złośliwy moduł uwierzytelniania wtykowego (PAM), podstawowy komponent używany w systemach Linux i UNIX do obsługi uwierzytelniania aplikacji i usług. Dzięki wbudowaniu się w tę infrastrukturę uwierzytelniania, Plague jest w stanie:

  • Omiń mechanizmy uwierzytelniania systemu w trybie cichym
  • Przechwyć dane uwierzytelniające użytkownika
  • Nawiąż stały dostęp SSH bez wykrywania

Ponieważ moduły PAM są ładowane do procesów uprzywilejowanych, nieuczciwa implementacja, taka jak Plague, może działać z podwyższonymi uprawnieniami, często omijając tradycyjne narzędzia wykrywania i monitorowania.

Niewidoczne i ewoluujące: niewykryte przez silniki bezpieczeństwa

Naukowcy zidentyfikowali kilka różnych próbek Plague, z których żadna nie została oznaczona jako złośliwa przez skanery antywirusowe. Odkrycie wielu unikalnych artefaktów wskazuje na ciągły rozwój i udoskonalanie przez odpowiedzialnych za to cyberprzestępców, co sugeruje, że Plague jest elementem długoterminowej strategii ofensywnej.

Arsenał zarazy: tajny dostęp i antykryminalistyka

Plaga wyposażona jest w szereg zaawansowanych funkcji, które zwiększają jej zdolność do unikania i działania poza kontrolą:

  • Statyczne dane uwierzytelniające umożliwiające tajny, powtarzalny dostęp
  • Mechanizmy zapobiegające debugowaniu i zaciemnianie ciągów znaków w celu utrudnienia inżynierii wstecznej

Ingerencja w środowisko w celu zatarcia śladów, w tym:

  • Usuwanie ustawień zmiennych środowiskowych związanych z SSH (SSH_CONNECTION, SSH_CLIENT)
  • Przekierowanie historii powłoki (HISTFILE) do /dev/null w celu usunięcia logów wykonanych poleceń

Tego typu taktyki zostały opracowane specjalnie w celu usunięcia wszelkich dowodów kryminalistycznych obecności atakującego w zainfekowanym systemie.

Cichy ocalały: w jego centrum tkwi wytrwałość i zaciemnianie

Integracja Plague ze stosem uwierzytelniania pozwala mu przetrwać aktualizacje systemu i działać niezauważalnie, co czyni go niezwykle odpornym zagrożeniem. Jego wielowarstwowe techniki zaciemniania i manipulacja zmiennymi środowiskowymi systemu drastycznie ograniczają jego widoczność, co czyni go poważnym wyzwaniem dla tradycyjnych mechanizmów wykrywania.

Wnioski: Niebezpieczne zagrożenie wymagające czujności

Odkrycie Plague uwydatnia rosnącą zaawansowanie złośliwego oprogramowania atakującego Linuksa. Osadzając się w krytycznych komponentach systemu i wykorzystując inteligentne metody anty-forensyczne, stanowi ono poważne zagrożenie dla organizacji korzystających z infrastruktury Linuksa. Proaktywny monitoring, regularne audyty modułów PAM oraz wykrywanie anomalii na podstawie zachowań są niezbędne w walce z zagrożeniami tego kalibru.

Popularne

Współdzielony dokument – oszustwo e-mailowe z...

Phishing, Spam
Eksperci ds. cyberbezpieczeństwa zidentyfikowali złośliwą kampanię spamową obejmującą fałszywe wiadomości e-mail zatytułowane „Współdzielony dokument – oferta biznesowa i lista produktów”. Te zwodnicze wiadomości twierdzą, że odbiorca otrzymał ofertę biznesową i powiązane z nią szczegóły produktu, ale w rzeczywistości mają na celu kradzież poufnych danych logowania. Należy podkreślić, że te...

Najczęściej oglądane

Ładowanie...