![图片[1]安全114-安全在线-安全壹壹肆-网络安全黄页-网络安全百科新型 Linux 后门通过恶意 PAM 模块绕过身份验证](https://www.anquan114.com/wp-content/uploads/2024/02/20240201215424622-image-1024x430.png)
网络安全研究人员发现一种名为“Plague”的新型Linux后门程序,该恶意软件已逃避检测长达一年之久。Nextron Systems研究员Pierre-Henri Pezier指出:“该植入程序被构建为恶意PAM(可插拔认证模块),使攻击者能静默绕过系统认证,获取持久SSH访问权限”。
可插拔认证模块(Pluggable Authentication Module,PAM)是Linux及UNIX系统中用于管理用户对应用程序和服务认证的共享库集合。由于PAM模块会被加载至特权认证进程中,恶意模块可实现凭证窃取、绕过认证检查,同时规避安全工具检测。
该网络安全公司表示,自2024年7月29日起,其在VirusTotal平台发现多个Plague样本,但所有反恶意引擎均未将其标记为恶意。此外,多个样本的存在表明幕后未知威胁组织正积极开发该恶意软件。
Plague具备四项核心能力:
- 静态凭证:支持隐蔽访问
- 抗分析能力:通过反调试与字符串混淆技术抵抗逆向工程
- 会话痕迹清除:通过取消设置环境变量(如SSH_CONNECTION、SSH_CLIENT)及重定向HISTFILE至/dev/null,阻止Shell命令记录,从而消除审计痕迹
Pezier强调:“Plague深度集成于认证堆栈中,可存活于系统更新过程且几乎不留取证痕迹。结合分层混淆与环境篡改技术,使其极难被传统工具检测。”
消息来源:thehackernews;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
© 版权声明
文章版权归原作者所有,转摘请注明出处。文章内容仅代表作者独立观点,不代表安全壹壹肆&安全114的立场,转载目的在于传递网络空间安全讯息。部分素材来源于网络,如有侵权请联系首页管理员删除。
THE END
暂无评论内容