Plague Backdoor
Strokovnjaki za kibernetsko varnost so odkrili doslej neznano in zelo izmikajočo se zlonamerno programsko opremo za Linux, imenovano Plague. Čeprav je ta zlonamerna zadnja vrata delovala neopaženo približno eno leto, je pokazala napredno raven vztrajnosti in prikritosti, kar napadalcem omogoča prikrito infiltracijo v sisteme in ohranjanje nepooblaščenega dostopa.
Kazalo
Skrito na očeh: Orožje za PAM za prikrit dostop
Plague se maskira kot zlonamerni modul za preverjanje pristnosti (PAM), osrednja komponenta, ki se uporablja v sistemih Linux in UNIX za upravljanje preverjanja pristnosti aplikacij in storitev. Z vgradnjo v to infrastrukturo za preverjanje pristnosti je Plague sposoben:
- Tiho obidite mehanizme za preverjanje pristnosti sistema
- Zajem uporabniških poverilnic
- Vzpostavitev trajnega dostopa SSH brez zaznavanja
Ker so moduli PAM naloženi v privilegirane procese, lahko lažna implementacija, kot je Plague, deluje s povišanimi dovoljenji in se pogosto izogne tradicionalnim orodjem za zaznavanje in spremljanje.
Nevidno in razvijajoče se: Neodkrito s strani varnostnih mehanizmov
Raziskovalci so identificirali več različnih vzorcev virusa Plague, od katerih nobenega protivirusni skenerji niso označili kot zlonamernega. Odkritje več edinstvenih artefaktov kaže na nenehen razvoj in izpopolnjevanje s strani odgovornih akterjev grožnje, kar kaže na to, da je virus Plague del dolgoročne ofenzivne strategije.
Kužni arzenal: prikrit dostop in protiforenzika
Kuga je opremljena z naborom naprednih funkcij, ki prispevajo k njeni izmikanju in sposobnosti neopaženega delovanja:
- Statične poverilnice za omogočanje tajnega, ponavljajočega se dostopa
- Mehanizmi proti odpravljanju napak in zakrivanje nizov za oviranje obratnega inženiringa
Poseganje v okolje za prikrivanje sledi, vključno z:
- Razveljavitev okoljskih spremenljivk, povezanih s SSH (SSH_CONNECTION, SSH_CLIENT)
- Preusmeritev zgodovine lupine (HISTFILE) v /dev/null za odstranitev dnevnikov izvedenih ukazov
Te taktike so posebej zasnovane za odstranitev kakršnih koli forenzičnih dokazov o prisotnosti napadalca na ogroženem sistemu.
Tihi preživeli: Vztrajnost in zamegljenost v svojem bistvu
Integracija virusa Plague v avtentikacijski sklad mu omogoča, da preživi posodobitve sistema in deluje neopazno, zaradi česar je nenavadno odporna grožnja. Njegove večplastne tehnike zakrivanja in manipulacija s spremenljivkami sistemskega okolja drastično zmanjšajo njegovo vidnost, zaradi česar je velik izziv za tradicionalne mehanizme zaznavanja.
Zaključek: Nevarna grožnja, ki zahteva budnost
Odkritje virusa Plague poudarja vse večjo prefinjenost zlonamerne programske opreme, usmerjene v Linux. Z vgrajevanjem v kritične sistemske komponente in uporabo pametnih protiforenzičnih metod predstavlja veliko tveganje za organizacije, ki se zanašajo na infrastrukturo Linuxa. Proaktivno spremljanje, redni pregledi modulov PAM in odkrivanje anomalij na podlagi vedenja so bistveni za boj proti grožnjam te kalibra.
