Çoklu Lisans İndirim Teklifi
Tehdit Veritabanı Kötü amaçlı yazılım Plague Backdoor

Plague Backdoor

Mezo'de Kötü amaçlı yazılım, Arka kapılar'de
Çevir:

Siber güvenlik uzmanları, daha önce bilinmeyen ve oldukça sinsi bir Linux kötü amaçlı yazılımı olan Plague'i keşfetti. Yaklaşık bir yıldır tespit edilememesine rağmen, bu kötü amaçlı arka kapı gelişmiş düzeyde kalıcılık ve gizlilik sergileyerek, saldırganların sistemlere gizlice sızmalarına ve yetkisiz erişim sağlamalarına olanak tanıdı.

Göz Önünde: Gizli Erişim İçin PAM’i Silahlandırmak

Plague, Linux ve UNIX sistemlerinde uygulama ve hizmetler için kimlik doğrulamayı yönetmek amacıyla kullanılan temel bir bileşen olan kötü amaçlı bir Eklentili Kimlik Doğrulama Modülü (PAM) kılığına bürünür. Plague, bu kimlik doğrulama altyapısına yerleşerek şunları yapabilir:

  • Sistem kimlik doğrulama mekanizmalarını sessizce atlatın
  • Kullanıcı kimlik bilgilerini yakala
  • Algılama olmadan kalıcı SSH erişimi kurun

PAM modülleri ayrıcalıklı işlemlere yüklendiğinden, Plague gibi bir sahte uygulama, genellikle geleneksel tespit ve izleme araçlarından kaçınarak, yüksek izinlerle çalışabilme yeteneğine sahiptir.

Görünmeyen ve Gelişen: Güvenlik Motorları Tarafından Algılanmıyor

Araştırmacılar, hiçbiri kötü amaçlı yazılım tarayıcıları tarafından kötü amaçlı olarak işaretlenmemiş birkaç farklı Plague örneği tespit etti. Çok sayıda benzersiz eserin keşfi, sorumlu tehdit aktörleri tarafından devam eden geliştirme ve iyileştirme çalışmalarına işaret ediyor ve Plague'in uzun vadeli bir saldırı stratejisinin parçası olduğunu gösteriyor.

Veba Cephaneliği: Gizli Erişim ve Adli Bilişim Karşıtı

Plague, kaçamak hareket kabiliyetine ve fark edilmeden hareket edebilme yeteneğine katkıda bulunan bir dizi gelişmiş özellik ile donatılmıştır:

  • Gizli, tekrarlanan erişimi mümkün kılan statik kimlik bilgileri
  • Tersine mühendisliği engellemek için hata ayıklama önleme mekanizmaları ve dizge karartma

İzlerini örtmek için çevresel müdahalelerde bulunmak, şunları içerir:

  • SSH ile ilgili ortam değişkenlerinin (SSH_CONNECTION, SSH_CLIENT) ayarının kaldırılması
  • Yürütülen komutların günlüklerini ortadan kaldırmak için kabuk geçmişini (HISTFILE) /dev/null'a yönlendiriyorum

Bu taktikler, saldırganın tehlikeye atılmış sistemdeki varlığına dair her türlü adli delili ortadan kaldırmak için özel olarak tasarlanmıştır.

Sessiz Kurtulan: Özünde Azim ve Karartma

Plague'in kimlik doğrulama yığınına entegrasyonu, sistem güncellemelerinden sağ çıkmasını ve görünmez bir şekilde çalışmasını sağlayarak onu alışılmadık derecede dirençli bir tehdit haline getiriyor. Katmanlı karartma teknikleri ve sistem ortamı değişkenlerinin manipülasyonu, görünürlüğünü önemli ölçüde azaltarak onu geleneksel tespit mekanizmaları için zorlu bir meydan okuma haline getiriyor.

Sonuç: Dikkat Gerektiren Tehlikeli Bir Tehdit

Plague'in keşfi, Linux'u hedef alan kötü amaçlı yazılımların giderek daha karmaşık hale geldiğini gözler önüne seriyor. Kritik sistem bileşenlerine yerleşerek ve akıllı adli bilişim önleme yöntemleri kullanarak, Linux altyapısına güvenen kuruluşlar için önemli bir risk oluşturuyor. Proaktif izleme, PAM modüllerinin düzenli denetimleri ve davranış tabanlı anormallik tespiti, bu çaptaki tehditlerle mücadelede olmazsa olmazdır.

trend

Paylaşılan Belge - İş Teklifi ve Ürün Listesi...

Kimlik avı, İstenmeyen e-posta
Siber güvenlik uzmanları, "Paylaşılan Belge - İş Teklifi ve Ürün Listesi" başlıklı sahte e-postaları içeren kötü amaçlı bir spam kampanyası tespit etti. Bu aldatıcı mesajlar, alıcıya bir iş teklifi ve ilgili ürün ayrıntıları gönderildiğini iddia etse de, aslında hassas oturum açma kimlik bilgilerini çalmak için tasarlanmıştır. Bu e-postaların, gerçek gibi görünme çabalarına rağmen, herhangi bir...

En çok görüntülenen

Yükleniyor...