新 PAM 後門程式「瘟疫」入侵 Linux 系統 市面防毒引擎均未識別出來

資安研究人員近期發現一惡意 Linux 後門程式「瘟疫」(Plague)，已成功躲避偵測長達一年之久。

網路安全公司 Nextron Systems 研究員 Pierre-Henri Pezier 指出，此植入程式被設計為惡意的 PAM（可插拔認證模組），使攻擊者能悄無聲息地繞過系統認證，並取得持久性的 SSH 存取權限。

可插拔認證模組（PAM）是管理 Linux 和 UNIX 系統中應用程式和服務使用者認證的共用函式庫。由於 PAM 模組會載入到具特權的認證程序中，惡意的 PAM 模組可讓攻擊者竊取使用者憑證、繞過認證檢查，並躲避安全工具的偵測。

資安業者表示，自 2024 年 7 月 29 日起，VirusTotal 平台上已出現多個「瘟疫」相關程式碼樣本，且所有防毒引擎均未能將其識別為惡意程式。這些樣本的存在證明幕後未知駭客正積極開發「瘟疫」。

「瘟疫」有四個顯著特徵：靜態憑證允許隱密存取、透過反除錯與字串混淆來抵抗分析與逆向工程，以及刪除SSH連線紀錄以增強隱匿性。該後門程式使用 unsetenv 指令取消 SSH_CONNECTION 和 SSH_CLIENT 等環境變數，並將 HISTFILE 重新導向至 /dev/null，有效防止指令歷史被記錄，藉此規避系統稽核追蹤。

「瘟疫」深度整合於認證堆疊中，即使系統更新後仍能持續存在，且幾乎不留下任何鑑識痕跡。此外，它運用多層混淆技術並修改環境變數，使傳統資安工具難以察覺其存在。

本文轉載自 TheHackerNews。