Новый бэкдор Linux «Plague» использует PAM для обхода авторизации в системе

Сегодня мы поговорим об очень важной теме: сложном бэкдоре для Linux под названием Plague. Если вы отвечаете за информационную безопасность, вам действительно важно разбираться в этих сложных угрозах, особенно в тех, которые нацелены на основные компоненты системы.

Считайте это уроком по пониманию того, как злоумышленники пытаются оставаться незамеченными и обходить средства защиты.

Что такое Plague?

Для начала давайте разберемся, что такое Plague.

Plague — это вредоносная программа («бэкдор»), специально разработанная для систем Linux. Её основная цель — позволить злоумышленникам тайно обходить аутентификацию в системе.

Это означает, что злоумышленник может получить доступ к системе без ввода правильного имени пользователя и пароля или с помощью секретного пароля, заданного в коде.

Он предоставляет постоянный доступ по SSH для злоумышленников. Постоянный доступ означает, что он сохраняется в системе даже после перезагрузки или обновления.

Plague опасна, и её трудно обнаружить

Чума очень опасна, потому что она крайне скрытна и трудно обнаружима.

Он долгое время оставался незамеченным широкой общественностью, и многие антивирусные программы не помечают его как вредоносное ПО. Он может скрываться в системах, и обычные средства защиты его не обнаружат.

Plague backdoor глубоко интегрируется в стек аутентификации. Plague нацелена на PAM (подключаемые модули аутентификации), базовую часть системы Linux.

Он выдерживает обновления системы. Так что, даже если вы обновите систему, Plague может остаться.

Он почти не оставляет следов. Следы — это как цифровые отпечатки. Plague пытается их стереть, из-за чего очень сложно понять, что злоумышленник был здесь.

Как действует Plague?

Plague добивается скрытности и постоянства с помощью нескольких хитроумных приёмов:

1. Бэкдор на основе PAM

Как вы, возможно, уже знаете, PAM — это система, которая обеспечивает аутентификацию пользователей для многих программ.

Plague создан как вредоносный модуль PAM. Он внедряется непосредственно в процесс аутентификации системы.

Когда такая программа, как login или sshd, запрашивает у PAM аутентификацию пользователя, Plague может перехватить этот запрос и впустить злоумышленника.

2. Обход аутентификации

Plague использует статические, жестко заданные пароли. Это секретные пароли, встроенные в сам бэкдор, например «Mvi4Odm6tld7», «IpV57KNK32Ih» и «changeme».

Злоумышленник может использовать один из этих паролей для входа в систему, минуя обычную проверку пароля.

3. Продвинутые техники уклонения

Функции защиты от отладки:

Plague затрудняет анализ для исследователей в области безопасности. Он проверяет, совпадает ли имя файла с libselinux.so.8 и отсутствует ли ld.so.preload в переменных среды.

Это помогает ему избегать отладчиков и изолированных сред, которые часто используют эти механизмы для анализа.

Запутывание строк:

Бэкдор Plague скрывает важный текст и данные внутри своего кода. Из-за этого очень сложно понять, что делает бэкдор, просто взглянув на его код. Он использует сложные методы, в том числе многоуровневое шифрование (XOR, KSA/PRGA, DRBG).

Вмешательство в окружающую среду (Stealth):

Plague активно очищает среду выполнения, чтобы удалить следы присутствия злоумышленника.

• Это отменяет переменные среды, такие как SSH_CONNECTION и SSH_CLIENT.
• Он перенаправляет HISTFILE на /dev/null. Это предотвращает запись команд оболочки в историю пользователя, что позволяет замести следы злоумышленника.

Скрытые Артефакты Сеанса:

Это гарантирует, что почти не останется следов аудита или метаданных входа в систему.

Проблемы, связанные с обнаружением

Из-за этих сложных функций Plague исключительно трудно обнаружить с помощью традиционных инструментов безопасности. Это подчёркивает важность:

• Проактивное обнаружение. Нельзя просто ждать оповещения — нужно активно искать эти угрозы.
• Охота с использованием YARA. Правила YARA — это шаблоны, используемые для выявления вредоносного ПО.
• Поведенческий анализ. Это значит, что нужно смотреть на то, что программы делают в системе, а не только на то, чем они являются.

Ключевые рекомендации на Вынос

1. Целевыми компонентами являются основные системные компоненты: злоумышленники любят атаковать фундаментальные компоненты операционной системы, такие как PAM, поскольку они обеспечивают глубокий доступ и устойчивость. Если они взламывают PAM, то получают контроль над аутентификацией во всей системе.
2. Скрытность превыше всего: современные бэкдоры идут на всё, чтобы остаться незамеченными. Узнайте о таких методах, как обфускация, защита от отладки и вмешательство в среду.
3. Постоянство — ключ к успеху: злоумышленники хотят закрепиться в системе. Важно понимать, как бэкдоры переживают перезагрузки и обновления (например, Plague глубоко интегрируется в стек аутентификации).
4. Традиционные средства могут оказаться неэффективными: не полагайтесь только на антивирус. Сложные угрозы, такие как Plague, могут легко обойти его. Вот почему так важна проактивная защита, например с помощью правил YARA и поведенческого анализа.
5. Криминалистическая экспертиза: даже если бэкдор пытается замести следы, могут остаться едва заметные улики, например жестко запрограммированные пароли или определенные флаги (например, bkr=1). Умение находить эти «артефакты» крайне важно для реагирования на инциденты.

Понимание того, что такое Plague, помогает нам разобраться в продвинутых тактиках злоумышленников и понять, почему нам нужно быть бдительными и гибкими в вопросах безопасности.

Nextron Systems, немецкая компания по обеспечению безопасности, опубликовала подробное исследование бэкдора Plague. Если вам интересно узнать об этом больше, перейдите по следующей ссылке:

• Plague: недавно обнаруженный бэкдор на основе PAM для Linux

Редактор: AndreyEx