IT之家 8 月 5 日消息，安全公司 Nextron Research 于 8 月 1 日發(fā)布博文，報(bào)告稱(chēng)使用 YARA 規(guī)則，在 Linux 系統(tǒng)中意外發(fā)現(xiàn)了一種此前未被記錄的 PAM 基礎(chǔ)后門(mén)，隨后將其命名為“瘟疫”（Plague）。

IT之家注：PAM 的全稱(chēng)為 Pluggable Authentication Module，是一種支持程序通過(guò)配置模塊認(rèn)證用戶(hù)的編程接口，廣泛應(yīng)用于多種操作系統(tǒng)。

Plague 作為一種惡意的 PAM 模塊，可以在不被用戶(hù)察覺(jué)的情況下，讓攻擊者繞過(guò)系統(tǒng)認(rèn)證，竊取敏感隱私數(shù)據(jù)，并掌控 SSH 的持久訪問(wèn)權(quán)。這種后門(mén)偽裝成常見(jiàn)的系統(tǒng)庫(kù)，在 VirusTotal 上不會(huì)被任何一款防病毒程序識(shí)別為惡意軟件。

Plague 采用了多種混淆技術(shù)（如 XOR、KSA / PRGA、DRBG）、反調(diào)試方法和隱藏會(huì)話(huà)的手段，且在系統(tǒng)更新后仍然存在，不會(huì)留下任何日志。

研究人員使用 Unicorn + IDA 創(chuàng)建了一個(gè)定制的解密工具，發(fā)現(xiàn)這種 PAM 后門(mén)自成立以來(lái)，在一年多的時(shí)間里，在不同環(huán)境中編譯出了多個(gè)樣本，顯示出未知網(wǎng)絡(luò)攻擊集團(tuán)的持續(xù)發(fā)展和適應(yīng)。

Plague 能夠深度集成到認(rèn)證堆棧中，即使系統(tǒng)更新也不會(huì)被消除，幾乎不留下任何證據(jù)，結(jié)合多層次的混淆和環(huán)境影響，這種后門(mén)非常難以被傳統(tǒng)工具發(fā)現(xiàn)。

廣告聲明：文內(nèi)含有的對(duì)外跳轉(zhuǎn)鏈接（包括不限于超鏈接、二維碼、口令等形式），用于傳遞更多信息，節(jié)省甄選時(shí)間，結(jié)果僅供參考，IT之家所有文章均包含本聲明。