Plague Backdoor
網路安全專家發現了一種先前未知且極具隱蔽性的 Linux 惡意軟體,名為「瘟疫 (Plague)」。儘管該惡意後門已潛伏了近一年,但已展現出極強的持久性和隱蔽性,使攻擊者能夠秘密滲透系統並進行未經授權的訪問。
目錄
隱藏在顯而易見的地方:利用 PAM 進行隱密訪問
Plague 偽裝成惡意的可插入身分驗證模組 (PAM),這是 Linux 和 UNIX 系統中用於處理應用程式和服務驗證的核心元件。透過嵌入到此身份驗證基礎架構中,Plague 能夠:
- 靜默繞過系統身份驗證機制
- 捕獲用戶憑證
- 建立持久的 SSH 訪問而無需檢測
由於 PAM 模組被載入到特權進程中,像 Plague 這樣的惡意實作能夠以提升的權限運行,通常可以逃避傳統的偵測和監控工具。
不可見且不斷演進:未被安全引擎偵測到
研究人員已識別出多個不同的「瘟疫」樣本,但反惡意軟體掃描程式均未將其標記為惡意軟體。多個獨特痕跡的發現表明,威脅行為者正在持續開發和改進該惡意軟體,這表明「瘟疫」是其長期攻擊策略的一部分。
瘟疫的武器庫:隱蔽訪問和反取證
Plague 配備了一系列先進的功能,有助於提高其規避能力和不被發現的能力:
- 靜態憑證可實現秘密、重複的訪問
- 反調試機制和字串混淆可阻礙逆向工程
篡改環境以掩蓋其蹤跡,包括:
- 取消設定與 SSH 相關的環境變數(SSH_CONNECTION、SSH_CLIENT)
- 將 shell 歷史記錄(HISTFILE)重新導向到 /dev/null 以消除已執行指令的日誌
這些策略專門用於消除攻擊者在受感染系統上存在的任何法醫證據。
《沉默的倖存者》:其核心是持久性和混淆性
Plague 整合到身份驗證堆疊中,使其能夠在系統更新後存活下來,並且隱身運行,使其成為極具韌性的威脅。其分層混淆技術和對系統環境變數的操控大大降低了其可見性,對傳統偵測機制構成了巨大的挑戰。
結論:危險威脅,需警惕
Plague 的發現凸顯了針對 Linux 的惡意軟體日益複雜的現狀。它嵌入關鍵系統元件,並採用巧妙的反取證方法,對依賴 Linux 基礎架構的組織構成了重大風險。主動監控、定期審核 PAM 模組以及基於行為的異常偵測對於抵禦此類威脅至關重要。
