Plague Backdoor
Експерти з кібербезпеки виявили раніше невідоме та дуже ненадійне шкідливе програмне забезпечення для Linux під назвою Plague. Незважаючи на те, що цей шкідливий бекдор працював непомітно протягом приблизно року, він продемонстрував високий рівень стійкості та прихованості, дозволяючи зловмисникам таємно проникати в системи та підтримувати несанкціонований доступ.
Зміст
Приховано у всіх на виду: використання PAM як зброї для прихованого доступу
Plague маскується під шкідливий модуль автентифікації (PAM), основний компонент, що використовується в системах Linux та UNIX для обробки автентифікації програм та служб. Вбудовуючись у цю інфраструктуру автентифікації, Plague здатний:
- Тихо обійти механізми системної автентифікації
- Захоплення облікових даних користувачів
- Встановлення постійного SSH-доступу без виявлення
Оскільки модулі PAM завантажуються в привілейовані процеси, шахрайська реалізація, така як Plague, має можливість працювати з підвищеними правами доступу, часто уникаючи традиційних інструментів виявлення та моніторингу.
Невидиме та розвивається: Невиявлене системами безпеки
Дослідники виявили кілька різних зразків Plague, жоден з яких не був позначений антивірусними сканерами як шкідливий. Виявлення кількох унікальних артефактів вказує на постійний розвиток та вдосконалення вірусу відповідальними за нього зловмисниками, що свідчить про те, що Plague є частиною довгострокової наступальної стратегії.
Арсенал чуми: прихований доступ та антикриміналістика
Plague оснащений набором розширених функцій, які сприяють його невловимості та здатності діяти непоміченим:
- Статичні облікові дані для забезпечення секретного, багаторазового доступу
- Механізми захисту від налагодження та обфускація рядків для перешкоджання зворотному проектуванню
Втручання в навколишнє середовище з метою замести сліди, зокрема:
- Скасування змінних середовища, пов'язаних з SSH (SSH_CONNECTION, SSH_CLIENT)
- Перенаправлення історії оболонки (HISTFILE) до /dev/null для видалення журналів виконаних команд
Ці тактики спеціально розроблені для видалення будь-яких судово-медичних доказів присутності зловмисника в ураженій системі.
Мовчазний виживальник: Наполегливість та заплутування в його основі
Інтеграція Plague у стек автентифікації дозволяє їй виживати після оновлень системи та працювати непомітно, що робить її надзвичайно стійкою загрозою. Її багаторівневі методи обфускації та маніпулювання змінними системного середовища різко знижують її видимість, що робить її серйозною проблемою для традиційних механізмів виявлення.
Висновок: Небезпечна загроза, що вимагає пильності
Виявлення Plague підкреслює зростаючу складність шкідливого програмного забезпечення, орієнтованого на Linux. Вбудовуючись у критичні компоненти системи та використовуючи розумні методи антифорензики, воно становить значний ризик для організацій, що покладаються на інфраструктуру Linux. Проактивний моніторинг, регулярні аудити модулів PAM та виявлення аномалій на основі поведінки є важливими для боротьби із загрозами такого калібру.
