网络安全研究人员近日披露了一种此前未被发现的 Linux 后门程序,被命名为 Plague(瘟疫),它已经在未被察觉的情况下潜伏了一年之久。
据 Nextron Systems 的研究员 Pierre-Henri Pezier 表示:“该后门被构建为一个恶意的 PAM(可插拔认证模块),允许攻击者悄无声息地绕过系统认证,并持续获取 SSH 访问权限。”
PAM(Pluggable Authentication Modules)是一组用于管理 Linux 和类 UNIX 系统中用户认证的共享库。由于 PAM 模块会被加载到具有高权限的认证进程中,一旦被植入恶意模块,就可能被用于窃取用户凭证、绕过认证检查,并规避安全工具的检测。
该安全公司表示,自 2024 年 7 月 29 日起,他们在 VirusTotal 上发现了多个与 Plague 有关的样本,但无一被杀毒引擎识别为恶意文件。这一发现不仅说明该后门具备极强的隐蔽性,也表明背后不明攻击者仍在持续开发这一恶意工具。
Plague 拥有四项关键功能:
1. 内置静态凭证,实现秘密访问;
2. 通过反调试机制和字符串混淆来抵御分析与逆向工程;
3. 利用环境变量清除机制增强隐匿性;
4. 擦除 SSH 会话痕迹,避免被审计追踪。
为了不留下操作痕迹,Plague 会通过 unsetenv 删除诸如 SSH_CONNECTION 和 SSH_CLIENT 等环境变量,并将 HISTFILE 重定向至 /dev/null,防止 shell 命令被记录。
Pezier 指出:“Plague 深度集成于认证流程中,能在系统升级后依旧存活,并几乎不会留下可供取证的痕迹。配合其多层次的代码混淆和环境变量篡改行为,使得传统检测工具极难发现其存在。”
这类隐蔽性极高的后门对 Linux 系统构成了严重威胁,提醒各方务必加强 PAM 模块的完整性检测和访问控制。
发表评论
您还未登录,请先登录。
登录