Plague: A Newly Discovered Pam-Based Backdoor for Linux
9 months ago
- #Backdoor
- #Linux
- #Cybersecurity
- 一种名为‘瘟疫’的隐蔽Linux后门程序被发现,该恶意程序伪装成PAM模块绕过认证,实现SSH持久化访问。
- 尽管多个变体被上传至VirusTotal,但所有杀毒引擎均未标记为恶意,显示其规避技术极为有效。
- 该后门深度嵌入认证体系,可存活于系统更新,且几乎不留取证痕迹,使得检测异常困难。
- 采用XOR加密、KSA/PRGA算法及DRBG层的三重混淆技术,大幅提升分析复杂度。
- 具备反调试机制、字符串混淆、隐蔽访问静态密码及会话痕迹清除等特征。
- 长期编译的多个样本表明威胁组织持续活跃开发,目前攻击来源尚未明确。
- 研究人员在反混淆后的代码中发现对电影《黑客帝国》的引用彩蛋。
- 从样本中提取出硬编码密码如'Mvi4Odm6tld7'、'IpV57KNK32Ih'及'changeme'。
- 安全团队已开发出可检测PAM认证目标ELF文件的YARA规则。
- 研究人员基于IDA Pro的Unicorn引擎开发了专用反混淆工具,可安全模拟解密样本字符串。