吳明宜Nextron發現一款名為Plague的Linux後門惡意程式,能潛伏於系統認證機制中長期存活,且未被任何防毒引擎偵測。
德國安全廠商 Nextron Threat 發現一款能置入長期潛伏後門的 Linux 惡意程式,而且完全沒被防毒軟體辨識出來。
Nextron 研究人員 Pierre-Henri Pezier 指出,這款惡意程式被解譯出的程式碼內,有一段引用自 1995 年電影 Hacker 的一段話「Mr. Plague, sir?,我想有個駭客在此」,因被而命名為 Plague 。
研究人員指出,嵌入的程式是一款可插入驗證模組 (Pluggable Authentication Module, PAM),可讓攻擊者暗中繞過系統驗證,取得長期的 SSH 連線管道。這程式已深深嵌進驗證推疊中,得以在系統更新後存活,而且幾乎不留跡證。結合好幾層的混淆及環境篡改手法,使其格外難以用傳統工具偵測。
研究人員表示,這惡意程式能消毒 runtime 環境,以清除 SSH 會話的證據。它也會利用一些指令重設環境變項,或是防止 shell 指令記錄 (logging) 。此外,這隻 PAM 還使用多種手法來躲避偵測,包括隱藏會話紀錄以閃避掃瞄、實作自訂字串混淆系統和利用合法指令防止被除錯。它還包含寫死的密碼以駭客存取。
基於 PAM 的高明手法,這隻後門程式的危險性令人憂心,因為它可能被用來竊取使用者帳號憑證,並繞過標準的驗證程序。而且,Nextron 也還未搞懂駭客是怎麼植入 Plague 。另一個值得擔心的理由是,即使 2024 年就有人將 Plague 變種上傳到 VirusTotal 平台,但是幾個月來卻沒有被任何防毒引擎標示為惡意程式。
來源:The Register