Новый бэкдор «Plague» для Linux взламывает SSH, используя вредоносный модуль PAM
Исследователи безопасности Nextron Systems обнаружили скрытый бэкдор для систем Linux под названием Plague, который использует вредоносный модуль аутентификации для скрытого получения доступа к серверам.
Вредоносное ПО нацелено на систему подключаемых модулей аутентификации (PAM), которая является ключевым компонентом Linux в обработке входов пользователей в систему. Хотя образцы Plague циркулируют с июля 2024 года, они остаются незамеченными всеми основными антивирусными системами VirusTotal.
Как работает бэкдор
Plague внедряется как мошеннический PAM-модуль и активируется во время входа в систему, особенно по SSH. Он позволяет злоумышленникам обходить стандартные проверки паролей и входить в систему, используя жёстко заданные учётные данные, что даёт им полный доступ к системе.
Бэкдор включает в себя несколько скрытных приемов, позволяющих оставаться незамеченным:
- Пользовательская обфускация : ранние версии использовали простое кодирование, в то время как более новые варианты используют более сложное шифрование для скрытия строк и кода.
- Функции антианализа : вредоносное ПО избегает загрузки из подозрительных мест и отключает отладку.
- Процедуры очистки : удаляют следы своей деятельности, сбрасывая переменные среды и сбрасывая историю оболочки.
Исследователи обнаружили несколько версий бэкдора под именами вроде libselinux.so.8, некоторые из которых были замаскированы под легитимные системные файлы. Обновления, появляющиеся с течением времени, демонстрируют улучшение скрытности и расширение функциональности, что указывает на активную разработку.
Интересно, что в одной из версий даже есть ссылка на фильм 1995 года «Хакеры» со строкой:
«Э-э, мистер Чума, сэр? Кажется, у нас хакер».Почему это важно
Скрываясь внутри системы PAM, Plague может:
- Украсть учетные данные для входа
- Предоставить злоумышленникам постоянный доступ через SSH
- Обойти обнаружение традиционными средствами безопасности
- Не оставляют практически никаких следов в системных журналах
Это делает его особенно опасным для дорогостоящих Linux-систем, таких как бастионные хосты, переходные серверы и облачная инфраструктура, поскольку эти системы обычно служат критически важными точками доступа или узлами централизованного управления в сети организации. Взломанный бастионный хост или переходный сервер может предоставить злоумышленникам плацдарм для горизонтального перемещения по внутренним системам, повышения привилегий или кражи конфиденциальных данных.
В облачных средах, где автоматизация и масштабируемость играют ключевую роль, один зараженный экземпляр может быстро распространить вредоносное ПО или обеспечить несанкционированный доступ на несколько виртуальных машин или служб. Скрытность бэкдора, особенно его способность интегрироваться с основными механизмами аутентификации, еще больше усиливает угрозу, поскольку он может оставаться незамеченным, незаметно предоставляя злоумышленникам доступ.
Поскольку Plague не обнаруживается антивирусными программами, Nextron рекомендует использовать ручную проверку и методы обнаружения на основе поведения. Рекомендуемые действия включают:
- Проверка каталога /lib/security/ на наличие неизвестных или измененных модулей PAM
- Мониторинг файлов конфигурации PAM в /etc/pam.d/ на предмет несанкционированных изменений
- Поиск аномалий входа в журналы аутентификации
- Использование таких инструментов, как сканер THOR компании Nextron, который теперь включает правила YARA для обнаружения чумы
Plague — наглядный пример того, как злоумышленники становятся всё более хитрыми, внедряясь в доверенные компоненты систем. Этот бэкдор, атакуя механизм проверки личности пользователя, предоставляет злоумышленникам долгосрочный доступ без привлечения внимания. Организациям, использующим Linux в критически важных средах, следует пересмотреть конфигурации PAM, проверить целостность системы и внедрить более эффективные инструменты мониторинга для защиты от подобных угроз.
About The Author
