新型"Plague"PAM后门程序威胁Linux系统安全,可静默窃取凭证
💡
原文中文,约900字,阅读约需3分钟。
📝
内容提要
网络安全研究人员发现了一种名为Plague的新型Linux后门程序,能够静默绕过系统认证,获得持久的SSH访问权限。该恶意软件利用可插拔认证模块(PAM),并通过静态凭证、反调试和环境篡改等技术增强隐蔽性,长期未被检测到。
🎯
关键要点
- 网络安全研究人员发现名为Plague的新型Linux后门程序,已成功躲避检测长达一年。
- Plague作为恶意的可插拔认证模块(PAM),使攻击者能够静默绕过系统认证,获得持久的SSH访问权限。
- PAM模块是Linux和UNIX系统中用于管理用户认证的共享库,恶意PAM模块可实现用户凭证窃取和绕过认证检查。
- 自2024年7月29日起,VirusTotal上发现多个Plague样本,但没有反恶意软件引擎将其检测为恶意程序。
- Plague具有四大显著特征:使用静态凭证、反调试和字符串混淆、清除SSH会话证据、取消设置环境变量以防止审计痕迹。
- Plague深度集成到认证堆栈中,几乎不留下取证痕迹,结合分层混淆和环境篡改技术,使传统工具难以检测。
❓
延伸问答
Plague后门程序是如何影响Linux系统的安全性的?
Plague后门程序通过静默绕过系统认证,获得持久的SSH访问权限,从而影响Linux系统的安全性。
Plague后门程序的主要特征是什么?
Plague具有使用静态凭证、反调试和字符串混淆、清除SSH会话证据、取消设置环境变量等四大显著特征。
为什么Plague后门程序难以被检测到?
Plague深度集成到认证堆栈中,结合分层混淆和环境篡改技术,使得传统安全工具难以检测到它的存在。
Plague后门程序是如何利用PAM模块的?
Plague作为恶意的PAM模块,能够实现用户凭证窃取和绕过认证检查,利用PAM的特性进行攻击。
Plague后门程序的发现时间是什么时候?
Plague后门程序自2024年7月29日起在VirusTotal上被发现。
Plague后门程序的开发者是否已知?
目前尚不清楚Plague后门程序的开发者,多个样本的存在表明幕后未知威胁行为者正在积极开发该恶意软件。
➡️
