|
ChMkLWiRYSGINIf1AAIRtF50tNsAACFLwOWxg4AAhHM293.png
安全公司 Nextron Research 在 8 月 1 日发布的一篇技术报告中披露,研究人员在利用 YARA 规则对 Linux 系统进行检测时,意外发现了一种此前未被记录的基于 PAM 的后门程序,并将其命名为“瘟疫”(Plague)。
PAM 全称为 Pluggable Authentication Module,是一种可插拔的认证模块接口,广泛用于各类操作系统中,使应用程序能够通过配置不同的模块实现用户身份验证。
Plague 是一个恶意的 PAM 模块,具备极强的隐蔽性。攻击者可以借此绕过系统身份验证机制,悄无声息地窃取用户敏感信息,并获得对系统的 SSH 持久访问权限。该后门模块伪装成常规系统库文件,目前在 VirusTotal 平台上未被任何杀毒软件识别为恶意程序。
该后门使用了包括 XOR、KSA / PRGA、DRBG 等多种混淆技术,还结合了反调试机制和隐藏会话的手段,使其在系统升级后依然保持存在,并且不会在日志中留下痕迹。研究人员通过 Unicorn 和 IDA 构建了一个专用解密工具,最终确认该后门在过去一年多时间里,已在不同环境下被多次编译生成,显示出背后攻击组织长期持续的开发与适应能力。
Plague 可深度嵌入系统的认证流程之中,即便操作系统升级也不会被清除,且几乎不留下任何痕迹。它结合了复杂的混淆技术与系统环境依赖,使得传统的安全检测手段难以发现其存在。 | 
让创业更简单