新型"Plague"PAM后门程序威胁Linux系统安全,可静默窃取凭证
内容提要
网络安全研究人员发现了一种名为Plague的新型Linux后门程序,能够静默绕过系统认证,获得持久的SSH访问权限。该恶意软件利用可插拔认证模块(PAM),并通过静态凭证、反调试和环境篡改等技术增强隐蔽性,长期未被检测到。
关键要点
-
网络安全研究人员发现名为Plague的新型Linux后门程序,已成功躲避检测长达一年。
-
Plague作为恶意的可插拔认证模块(PAM),使攻击者能够静默绕过系统认证,获得持久的SSH访问权限。
-
PAM模块是Linux和UNIX系统中用于管理用户认证的共享库,恶意PAM模块可实现用户凭证窃取和绕过认证检查。
-
自2024年7月29日起,VirusTotal上发现多个Plague样本,但没有反恶意软件引擎将其检测为恶意程序。
-
Plague具有四大显著特征:使用静态凭证、反调试和字符串混淆、清除SSH会话证据、取消设置环境变量以防止审计痕迹。
-
Plague深度集成到认证堆栈中,几乎不留下取证痕迹,结合分层混淆和环境篡改技术,使传统工具难以检测。
延伸解读
PAM模块的安全隐患
可插拔认证模块(PAM)在Linux系统中扮演着重要角色,但其被恶意利用的风险也随之增加。Plague后门程序的出现提醒我们,系统认证机制的安全性需要持续关注,尤其是在使用第三方模块时,必须确保其来源和完整性。
隐蔽性与检测挑战
Plague后门程序通过多种技术手段增强隐蔽性,使其难以被传统安全工具检测。用户和管理员应提高警惕,定期审查系统日志和认证模块的完整性,以防止潜在的安全威胁。
长期潜伏的风险
Plague已成功潜伏一年之久,显示出其开发者的高超技术和持续的威胁能力。这种长期未被发现的恶意软件可能会导致严重的安全事件,因此,企业应加强对系统的监控和应急响应能力,以应对潜在的攻击。
延伸问答
Plague后门程序是如何影响Linux系统的安全性的?
Plague后门程序通过静默绕过系统认证,获得持久的SSH访问权限,从而影响Linux系统的安全性。
Plague后门程序的主要特征是什么?
Plague具有使用静态凭证、反调试和字符串混淆、清除SSH会话证据、取消设置环境变量等四大显著特征。
为什么Plague后门程序难以被检测到?
Plague深度集成到认证堆栈中,结合分层混淆和环境篡改技术,使得传统安全工具难以检测到它的存在。
Plague后门程序是如何利用PAM模块的?
Plague作为恶意的PAM模块,能够实现用户凭证窃取和绕过认证检查,利用PAM的特性进行攻击。
Plague后门程序的发现时间是什么时候?
Plague后门程序自2024年7月29日起在VirusTotal上被发现。
Plague后门程序的开发者是否已知?
目前尚不清楚Plague后门程序的开发者,多个样本的存在表明幕后未知威胁行为者正在积极开发该恶意软件。
