Недавно обнаруженное вредоносное ПО для Linux, которое не удавалось обнаружить более года, позволяет злоумышленникам получать постоянный SSH-доступ и обходить аутентификацию на взломанных системах.
Исследователи безопасности из Nextron Systems, обнаружившие вредоносную программу и назвавшие ее «Plague», описывают ее как вредоносный подключаемый модуль аутентификации (PAM), который использует многоуровневые методы обфускации и подмену окружения, чтобы избежать обнаружения традиционными средствами безопасности.
Это вредоносное ПО обладает функциями защиты от отладки для предотвращения попыток анализа и обратной инженерии, обфускации строк для затруднения обнаружения, жестко закодированными паролями для скрытого доступа, а также способностью скрывать артефакты сеанса, которые обычно раскрывают деятельность злоумышленника на зараженных устройствах.
«Plague глубоко интегрируется в стек аутентификации, выживает после обновления системы и практически не оставляет следов для судебной экспертизы. В сочетании с многоуровневой обфускацией и фальсификацией среды это делает ее чрезвычайно трудно обнаруживаемой с помощью традиционных инструментов»
- говорит исследователь угроз Пьер-Анри Пезье
«Вредоносная программа активно санирует среду выполнения, чтобы устранить следы сеанса SSH. Такие переменные окружения, как
SSH_CONNECTIONиSSH_CLIENT, отменяются с помощью unsetenv, а HISTFILE перенаправляется на /dev/null, чтобы предотвратить запись команд оболочки в журнал».
При анализе вредоносного ПО исследователи также обнаружили артефакты компиляции, указывающие на активную разработку в течение длительного периода времени, причем образцы компилировались с использованием различных версий GCC в разных дистрибутивах Linux.
Кроме того, несмотря на то, что за последний год на VirusTotal было загружено множество вариантов бэкдора, ни один из антивирусов не отметил их как вредоносные, что позволяет предположить, что создатели вредоносной программы действовали незамеченными.
Бэкдор Plague представляет собой сложную и развивающуюся угрозу для инфраструктуры Linux, эксплуатируя основные механизмы аутентификации для обеспечения скрытности и стойкости. Использование обфускации, статических учетных данных и фальсификации среды делает его особенно трудным для обнаружения обычными методами.
- добавил Пезье
В мае компания Nextron Systems обнаружила еще одну вредоносную программу, использующую гибкость инфраструктуры аутентификации PAM (Pluggable Authentication Modules) Linux, что позволяет ее создателям красть учетные данные, обходить аутентификацию и незаметно сохраняться на скомпрометированных устройствах.
Комментарии (0)