Mastodon
Connect with us

Deep Web

Νέο backdoor 'Plague' απειλεί κρίσιμα Linux συστήματα

Deep Web

Οι χάκερς χρησιμοποιούν Facebook Ads για διάδοση του JSCEAL

Deep Web

Η Microsoft Συνδέει Επιθέσεις SharePoint με Κινέζικες Ομάδες Χάκερ

Deep Web

Νέο backdoor ‘Plague’ απειλεί κρίσιμα Linux συστήματα

Νέο backdoor ‘Plague’ απειλεί την ασφάλεια Linux συστημάτων με αθόρυβη κλοπή διαπιστευτηρίων. Χαρακτηριστικά και ανίχνευση.

Published

7 months ago

on

Νέο backdoor ‘Plague’ απειλεί κρίσιμα Linux συστήματα

Περιεχόμενα
Η νέα απειλή στον κόσμο του Linux
Η σημασία των PAM Modules
Η αποκάλυψη του Plague
Χαρακτηριστικά και λειτουργίες του Plague
Η πρόκληση της ανίχνευσης

Η νέα απειλή στον κόσμο του Linux

Οι ειδικοί στον τομέα της κυβερνοασφάλειας έχουν επισημάνει ένα μέχρι τώρα άγνωστο backdoor για Linux, το οποίο φέρει το όνομα Plague. Αυτό το κακόβουλο λογισμικό κατάφερε να παραμείνει αόρατο για ένα ολόκληρο έτος, ενισχύοντας την ανησυχία για την ασφάλεια κρίσιμων συστημάτων. Σύμφωνα με τον Pierre-Henri Pezier, ερευνητή της Nextron Systems, το συγκεκριμένο implant έχει σχεδιαστεί ως κακόβουλο PAM (Pluggable Authentication Module), που επιτρέπει στους επιτιθέμενους να παρακάμπτουν αθόρυβα την αυθεντικοποίηση του συστήματος και να αποκτούν μόνιμη πρόσβαση μέσω SSH.

Η σημασία των PAM Modules

Τα Pluggable Authentication Modules, γνωστά ως PAM, αποτελούν ένα σύνολο κοινών βιβλιοθηκών που χρησιμοποιούνται για τη διαχείριση της αυθεντικοποίησης χρηστών σε εφαρμογές και υπηρεσίες σε συστήματα Linux και UNIX. Αυτά τα modules φορτώνονται σε διαδικασίες αυθεντικοποίησης με προνόμια, και ένα κακόβουλο PAM μπορεί να επιτρέψει την κλοπή διαπιστευτηρίων χρηστών, να παρακάμψει ελέγχους αυθεντικοποίησης και να παραμείνει αόρατο από τα εργαλεία ασφαλείας.

Η αποκάλυψη του Plague

Η εταιρεία κυβερνοασφάλειας ανακάλυψε πολλαπλά αρχεία του Plague που ανέβηκαν στο VirusTotal από τις 29 Ιουλίου 2024, χωρίς κανένα από αυτά να ανιχνεύεται ως κακόβουλο από τις μηχανές ανίχνευσης ιών. Η παρουσία πολλαπλών δειγμάτων υποδηλώνει ενεργή ανάπτυξη του κακόβουλου λογισμικού από τους άγνωστους επιτιθέμενους που το δημιούργησαν.

Χαρακτηριστικά και λειτουργίες του Plague

Το Plague διαθέτει τέσσερα κύρια χαρακτηριστικά: χρήση στατικών διαπιστευτηρίων για μυστική πρόσβαση, αντίσταση στην ανάλυση και στην αντίστροφη μηχανική μέσω τεχνικών anti-debugging και απόκρυψης κειμένων, καθώς και αυξημένη αθόρυβη λειτουργία με την εξάλειψη αποδεικτικών στοιχείων μιας συνεδρίας SSH. Αυτό επιτυγχάνεται με την απενεργοποίηση μεταβλητών περιβάλλοντος όπως SSH_CONNECTION και SSH_CLIENT μέσω της unsetenv, και την ανακατεύθυνση του HISTFILE στο /dev/null για την αποφυγή καταγραφής εντολών shell.

Η πρόκληση της ανίχνευσης

Ο Pezier σημείωσε ότι το Plague ενσωματώνεται βαθιά στη στοίβα αυθεντικοποίησης, επιβιώνει από ενημερώσεις συστήματος και αφήνει ελάχιστα ίχνη για εγκληματολογική ανάλυση. Συνδυάζοντας την πολυεπίπεδη απόκρυψη και τη μεταβολή του περιβάλλοντος, καθιστά εξαιρετικά δύσκολη την ανίχνευσή του με παραδοσιακά εργαλεία.

Related Topics:
Advertisement