8 月 5 日消息,安全公司 Nextron Research 于 8 月 1 日发布博文,报告称使用 YARA 规则,在 Linux 系统中意外发现了一种此前未被记录的 PAM 基础后门,随后将其命名为“瘟疫”(Plague)。
码农网注:PAM 的全称为 Pluggable Authentication Module,是一种支持程序通过配置模块认证用户的编程接口,广泛应用于多种操作系统。
Plague 作为一种恶意的 PAM 模块,可以在不被用户察觉的情况下,让攻击者绕过系统认证,窃取敏感隐私数据,并掌控 SSH 的持久访问权。这种后门伪装成常见的系统库,在 VirusTotal 上不会被任何一款防病毒程序识别为恶意软件。
Plague 采用了多种混淆技术(如 XOR、KSA / PRGA、DRBG)、反调试方法和隐藏会话的手段,且在系统更新后仍然存在,不会留下任何日志。
研究人员使用 Unicorn + IDA 创建了一个定制的解密工具,发现这种 PAM 后门自成立以来,在一年多的时间里,在不同环境中编译出了多个样本,显示出未知网络攻击集团的持续发展和适应。
Plague 能够深度集成到认证堆栈中,即使系统更新也不会被消除,几乎不留下任何证据,结合多层次的混淆和环境影响,这种后门非常难以被传统 工具 发现。
广告声明:文内含有的对外跳转链接(包括不限于超链接、二维码、口令等形式),用于传递更多信息,节省甄选时间,结果仅供参考,码农网所有文章均包含本声明。
猜你喜欢:暂无回复。
