Plague backdoor

Editors' Pick

A Plague egy Linux-alapú backdoor, amely a PAM (Pluggable Authentication Modules) rendszert használja ki – ez a modul felelős a felhasználók hitelesítéséért Linux rendszerekben. A kártevő úgy integrálódik, mintha egy teljesen ártalmatlan rendszerfájl lenne (például libselinux.so.8), ám valójában így hajt végre SSH-hozzáférést, hitelesítés megkerülésével, statikus beépített jelszóval és teljes láthatatlansággal.

A Plague több módszerrel is elkerüli a felfedést és megnehezíti az nyomonkövetést, először is összetett kódeltakarás (XOR, PRGA-szerű algoritmusok, DRBG rétegek) rejti el az érzékeny sztringeket; másrészt anti-debug technikákat alkalmaz. 

A backdoor szinte teljes bizonyossággal észrevétlen marad a legtöbb vírusirtó és biztonsági eszköz számára, annak ellenére, hogy mintáit az elmúlt egy év során rendszeresen feltöltötték a VirusTotalra – ahol azonban egyetlen motor sem jelölte őket kártékonynak.

A PAM réteg kompromittálása különösen súlyos fenyegetést jelent biztonságilag kritikus környezetekben – például bastion hostok, jump szerverek vagy felhőalapú infrastruktúrák esetében –, hiszen egyszeri behatolás elegendő lehet a támadónak a rendszer teljes megkerüléséhez és tartós hozzáférés biztosításához.

FORRÁS