网络安全研究人员发现一种名为“Plague”的新型Linux后门程序,该恶意软件已成功逃避检测长达一年。Plague被设计为恶意的可插拔认证模块(PAM),允许攻击者静默绕过系统认证,并获得持久的SSH访问权限。由于PAM模块在特权认证进程中运行,恶意模块能够窃取凭证、绕过认证检查,并有效规避安全工具的检测。自2024年7月29日起,Plague样本在VirusTotal上被发现,但未被反恶意软件引擎标记。该后门程序具备静态凭证、抗分析、会话痕迹清除等核心能力,深度集成于认证堆栈,能抵抗系统更新和规避传统检测工具。
🦠 **“Plague”后门程序利用PAM实现静默认证绕过与持久SSH访问**:该恶意软件被构建为恶意的可插拔认证模块(PAM),能够深度集成于Linux和UNIX系统的认证堆栈中。这使得攻击者能够静默地绕过系统原有的用户认证机制,并获得持久的SSH访问权限。PAM是Linux系统中负责管理用户对应用程序和服务认证的共享库,恶意PAM模块可以窃取用户凭证,绕过正常的认证检查,并且能够有效地规避安全工具的检测。
🔍 **“Plague”样本隐匿一年,且检测难度极高**:自2024年7月29日起,在VirusTotal平台上发现了多个“Plague”样本,但令人担忧的是,所有反恶意软件引擎均未能将其标记为恶意软件。这表明该恶意软件已经存在了相当长一段时间,并且能够有效规避当前主流的安全检测技术。其背后可能存在一个未知的威胁组织在积极开发和部署该恶意软件,显示出其潜在的威胁性。
🛡️ **“Plague”具备多项反检测与隐匿技术**:该后门程序拥有四项核心能力,包括支持隐蔽访问的静态凭证,以及通过反调试与字符串混淆技术抵抗逆向工程的抗分析能力。此外,它还能通过取消设置关键环境变量(如SSH_CONNECTION、SSH_CLIENT)以及将HISTFILE重定向至/dev/null来清除会话痕迹,从而阻止Shell命令记录,消除审计痕迹。这些技术手段使其极难被传统安全工具发现和分析。
🚀 **深度集成与环境篡改使“Plague”难以被传统工具检测**:研究人员强调,“Plague”能够深度集成于系统的认证堆栈,这意味着它可以在系统更新过程中得以存活,并且几乎不会留下可供取证的痕迹。结合其分层的混淆技术和对系统环境的篡改,使得传统的安全检测工具难以发现和识别该恶意软件的存在,增加了其威胁的隐蔽性。
HackerNews 编译,转载请注明出处:
网络安全研究人员发现一种名为“Plague”的新型Linux后门程序,该恶意软件已逃避检测长达一年之久。Nextron Systems研究员Pierre-Henri Pezier指出:“该植入程序被构建为恶意PAM(可插拔认证模块),使攻击者能静默绕过系统认证,获取持久SSH访问权限”。
可插拔认证模块(Pluggable Authentication Module,PAM)是Linux及UNIX系统中用于管理用户对应用程序和服务认证的共享库集合。由于PAM模块会被加载至特权认证进程中,恶意模块可实现凭证窃取、绕过认证检查,同时规避安全工具检测。
该网络安全公司表示,自2024年7月29日起,其在VirusTotal平台发现多个Plague样本,但所有反恶意引擎均未将其标记为恶意。此外,多个样本的存在表明幕后未知威胁组织正积极开发该恶意软件。
Plague具备四项核心能力:
静态凭证:支持隐蔽访问抗分析能力:通过反调试与字符串混淆技术抵抗逆向工程会话痕迹清除:通过取消设置环境变量(如SSH_CONNECTION、SSH_CLIENT)及重定向HISTFILE至/dev/null,阻止Shell命令记录,从而消除审计痕迹
Pezier强调:“Plague深度集成于认证堆栈中,可存活于系统更新过程且几乎不留取证痕迹。结合分层混淆与环境篡改技术,使其极难被传统工具检测。”
消息来源:thehackernews;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc”并附上原文
