Η εμφάνιση του "Plague", ενός εξελιγμένου backdoor για Linux, θέτει έναν πρωτοφανή κίνδυνο για την ασφάλεια των επιχειρήσεων. Αυτό το κακόβουλο λογισμικό παρακάμπτει όλες τις κορυφαίες λύσεις antivirus.
Εξασφαλίζει διαρκή πρόσβαση SSH υπονομεύοντας θεμελιώδη πρωτόκολλα ελέγχου ταυτότητας. Ερευνητές κυβερνοασφάλειας στην Nextron Systems αποκάλυψαν αυτή την απειλή.
Σημείωσαν την εκμετάλλευση των Pluggable Authentication Modules (PAM) για να διατηρήσει εξαιρετική μυστικότητα και επιμονή σε επίπεδο συστήματος. Η πλήρης αορατότητά του σε συμβατικές διασφαλίσεις ασφαλείας αποτελεί σημαντική ανησυχία.
Τα στοιχεία υποδηλώνουν την αποτελεσματικότητά του: τον τελευταίο χρόνο, πολλές παραλλαγές υποβλήθηκαν στο VirusTotal. Ούτε μία μηχανή antivirus δεν αναγνώρισε κανένα δείγμα ως κακόβουλο.
Αυτό οδήγησε σε ένα άψογο ποσοστό ανίχνευσης 0/66. Αυτή η απαράμιλλη ικανότητα αποφυγής ανίχνευσης πηγάζει από τη βαθιά ενσωμάτωσή του στην βασική υποδομή ελέγχου ταυτότητας του Linux.
Εκεί, λειτουργεί ως ένα φαινομενικά νόμιμο module PAM, υπονομεύοντας ταυτόχρονα καθιερωμένα πρωτόκολλα ασφαλείας. Το κακόβουλο λογισμικό εκμεταλλεύεται τον αρθρωτό σχεδιασμό του PAM.
Το PAM είναι ένα σύστημα όπου οι διαδικασίες ελέγχου ταυτότητας φορτώνουν δυναμικά κοινόχρηστες βιβλιοθήκες σύμφωνα με αρχεία διαμόρφωσης που βρίσκονται στο /etc/pam.d/.
Ενσωματώνοντας τον εαυτό του σε αυτήν την αξιόπιστη διαδρομή εκτέλεσης, το Plague αποκτά την ικανότητα να υποκλέπτει διαπιστευτήρια απλού κειμένου και να επηρεάζει τα αποτελέσματα ελέγχου ταυτότητας.
Επιπλέον, το Plague χειρίζεται τη μεταβλητή περιβάλλοντος HISTFILE, ανακατευθύνοντάς την στο /dev/null. Αυτή η ενέργεια σταματά αποτελεσματικά την καταγραφή του ιστορικού εντολών του shell.
Διασφαλίζει ότι οι κακόβουλες δραστηριότητες δεν αφήνουν κανένα εμφανές ίχνος στα αρχεία ιστορικού bash. Τέτοια αρχεία ελέγχονται τακτικά κατά τις έρευνες απόκρισης σε περιστατικά.