Plague Backdoor
网络安全专家发现了一种此前未知且极具隐蔽性的 Linux 恶意软件,名为“瘟疫 (Plague)”。尽管该恶意后门已潜伏了近一年,但已展现出极强的持久性和隐蔽性,使攻击者能够秘密渗透系统并进行未经授权的访问。
目录
隐藏在显而易见的地方:利用 PAM 进行隐秘访问
Plague 伪装成恶意的可插入身份验证模块 (PAM),这是 Linux 和 UNIX 系统中用于处理应用程序和服务身份验证的核心组件。通过嵌入到此身份验证基础架构中,Plague 能够:
- 静默绕过系统身份验证机制
- 捕获用户凭证
- 建立持久的 SSH 访问而无需检测
由于 PAM 模块被加载到特权进程中,像 Plague 这样的恶意实现能够以提升的权限运行,通常可以逃避传统的检测和监控工具。
不可见且不断演变:未被安全引擎检测到
研究人员已识别出多个不同的“瘟疫”样本,但反恶意软件扫描程序均未将其标记为恶意软件。多个独特痕迹的发现表明,威胁行为者正在持续开发和改进该恶意软件,这表明“瘟疫”是其长期攻击策略的一部分。
瘟疫的武器库:隐蔽访问和反取证
Plague 配备了一系列先进的功能,有助于提高其规避能力和不被发现的能力:
- 静态凭证可实现秘密、重复的访问
- 反调试机制和字符串混淆可阻碍逆向工程
篡改环境以掩盖其踪迹,包括:
- 取消设置与 SSH 相关的环境变量(SSH_CONNECTION、SSH_CLIENT)
- 将 shell 历史记录(HISTFILE)重定向到 /dev/null 以消除已执行命令的日志
这些策略专门用于消除攻击者在受感染系统上存在的任何法医证据。
《沉默的幸存者》:其核心是持久性和混淆性
Plague 集成到身份验证堆栈中,使其能够在系统更新后存活下来并隐身运行,使其成为一种极具韧性的威胁。其分层混淆技术和对系统环境变量的操控大大降低了其可见性,对传统检测机制构成了严峻挑战。
结论:危险威胁,需警惕
Plague 的发现凸显了针对 Linux 的恶意软件日益复杂的现状。它嵌入关键系统组件,并采用巧妙的反取证方法,对依赖 Linux 基础架构的组织构成了重大风险。主动监控、定期审核 PAM 模块以及基于行为的异常检测对于抵御此类威胁至关重要。
