«

Linux安全告急:“瘟疫”后门狡猾,安全软件难防

一把老骨头 发布于 阅读:18 科技新闻


近期德国信息安全服务公司Nextron Threat的研究人员有了惊人发现:一种能创建高度顽固Linux后门的恶意软件悄然现身,而杀毒引擎最初竟未能将其代码识别为恶意。

Nextron的研究员皮埃尔 - 亨利·佩齐耶(Pierre - Henri Pezier)透露,公司给这款恶意软件取名为“Plague”(瘟疫),这是有原因的。当对代码进行反混淆处理后,里面出现了“呃。瘟疫先生,先生?我觉得我们有个黑客了”这句话,它源自1995年的经典电影《黑客》。

从技术层面看,这个“瘟疫”恶意软件十分狡猾。它以恶意PAM(可插拔认证模块)的形式存在,就像给系统认证开了一扇“后门”。攻击者能借助它悄无声息地绕过系统认证,进而获得持久的SSH访问权限。佩齐耶解释说,该恶意软件深度集成到认证堆栈中,即便系统进行更新,它也能继续存活,而且几乎不会留下任何能被追踪的痕迹。再加上它采用了分层混淆和环境篡改的手段,传统检测工具想要发现它,简直难如登天。

最初文章发布后,网络安全形势有了新变化。安全软件终于开始“觉醒”,逐渐识别出该PAM漏洞,目前已有超过30个引擎能将其判定为恶意软件。Nextron表示,他们没有提前告知安全厂商这一情况,因为他们觉得公开发布技术信息属于一种负责任的披露方式。

“瘟疫”恶意软件的隐蔽手段还不止于此。佩齐耶指出,它会主动对运行时环境进行清理,把SSH会话的证据消除得干干净净。比如,它会使用unsetenv取消设置SSH_CONNECTION和SSH_CLIENT等环境变量,还会把HISTFILE重定向到/dev/null,防止shell命令被记录下来。

在躲避检测方面,“瘟疫”可谓“绞尽脑汁”。它伪装成可插拔认证模块(PAM),运用多种技术来隐藏自己。它会隐藏会话日志,让扫描工具难以察觉;实施自定义字符串混淆系统,增加代码的复杂性;还利用合法的libselinux.so.8共享库文件名来躲避调试器的追踪。更过分的是,它还设置了硬编码密码,方便操作人员随意访问。

PAM在系统认证中起着关键作用,所以这个后门的出现让人忧心忡忡。它极有可能被不法分子利用,用来窃取用户账户信息,轻松绕过标准的认证验证流程,给系统安全带来巨大威胁。

更让人头疼的是,Nextron目前还不清楚犯罪分子会通过什么方式来安装“瘟疫”恶意软件。而且,2024年有不明身份的人将“瘟疫”变种上传到了VirusTotal这个恶意软件扫描平台,可该平台却始终没有将其标记为恶意,这无疑给网络安全又蒙上了一层阴影。

在网络安全领域,类似的事件并不少见。比如之前Arch Linux用户就因AUR恶意软件恐慌而被要求清除Firefox分支版本;npm网络钓鱼攻击也曾将恶意软件植入流行软件包中;还有那些悄悄逃避系统调用监控的Linux恶意软件,以及专家称正在开发中的首款针对Linux的UEFI启动工具包,都时刻提醒着我们网络安全的严峻形势。

不过,目前也有个稍微让人宽心的消息。佩齐耶表示,尚未发现研究人员在野外检测到“瘟疫”恶意软件的公开报告。

“‘瘟疫’后门对Linux基础设施构成了复杂且不断升级的威胁,它巧妙地利用核心认证机制来保持自身的隐蔽性和持久性。”佩齐耶总结道,“它采用的高级混淆技术、静态凭证以及环境篡改手段,使得传统检测方法很难发现它的踪迹。”

对于如何应对这一问题,Nextron也给出了建议。佩齐耶通过电子邮件告诉《The Register》:“我们分析的所有样本都属于同一个后门家族,只是在大小、编译工具链和混淆层方面存在一些细微差异。从这些样本可以看出清晰的发展时间线,很可能是经过了多次测试和迭代。大多数样本是从美国上传的,还有一个来自中国。这可能意味着该恶意软件在全球范围内被使用或在多种环境中进行测试,但如果没有更多的遥测数据,很难确定这些上传是真实感染导致的,还是分析师出于好奇,或者是自动化沙盒测试的结果。像libselinux.so.8和libse.so这样的文件名,模仿了合法的系统库,很可能是为了在部署时避免引起怀疑。”

佩齐耶建议,如果系统管理员对系统安全有所怀疑,应该手动检查PAM文件是否合法。同时,Nextron已经更新了其免费的THOR Lite软件,这款软件现在能够检测任何看起来像“瘟疫”恶意软件的可疑对象。

liunx 病毒 后门