新恶意软件 Plague Linux 允许攻击者获得 SSH 访问权限

新发现的Linux恶意软件在完成逃避检测后，开始允许攻击者获得持久的SSH访问权限，并绕过受感染系统的身份验证。

Nextron Systems 的安全研究人员发现了该恶意软件，并将其命名为“Plague”。他们将其描述为一种恶意的可插拔认证模块（PAM），使用分层混淆技术和环境篡改来逃避传统安全工具的检测。

该恶意软件具有反调试功能，以阻止分析和逆向工程尝试，字符串混淆以使检测更加困难，硬编码密码以实现秘密访问，以及隐藏会话痕迹的能力，这些会话工件通常会暴露攻击者在受感染设备上的活动。

一旦加载，它还将清除运行时环境中任何恶意活动的痕迹，方法是取消与SSH相关的环境变量，并将命令历史重定向到/dev/null以防止日志记录，消除审计跟踪和登录元数据，并从系统历史日志和交互式会话中清除攻击者的数字足迹。

Plague深入集成到身份验证堆栈中，在系统更新中幸存下来，几乎不会留下任何痕迹。结合分层混淆和环境篡改，这使得使用传统工具检测异常困难。

恶意软件会主动清除运行时环境，以消除SSH会话的证据。使用unsetenv取消SSH_CONNECTION和SSH_CLIENT等环境变量的设置，而HISTFILE被重定向到/dev/null以防止shell命令记录。

在分析恶意软件时，研究人员还发现了编译工件，表明在很长一段时间内进行了积极的开发，使用不同Linux发行版的各种GCC版本编译了示例。

此外，尽管在过去的一年中有多个后门变种被上传到VirusTotal，但没有一个反病毒引擎将其标记为恶意软件，这表明恶意软件的创建者一直在未被发现的情况下运行。

Pezier补充说：“Plague后门对Linux基础设施构成了复杂而不断发展的威胁，它利用核心身份验证机制来保持隐身性和持久性。”由于它使用高级混淆、静态凭证和环境篡改，使得使用传统方法检测特别困难。

今年5月，Nextron Systems发现了另一种恶意软件，它利用了PAM (Pluggable Authentication Modules) Linux身份验证基础设施的灵活性，使其创建者能够窃取凭证，绕过身份验证，并在受损设备上获得隐秘的持久性。