یک بدافزار لینوکس که به تازگی کشف شده و بیش از یک سال از شناسایی شدن فراری بوده، به مهاجمان اجازه میدهد تا به طور مداوم به SSH دسترسی پیدا کرده و احراز هویت را در سیستمهای آسیبدیده دور بزنند.
محققان امنیتی Nextron Systems که این بدافزار را شناسایی کرده و آن را “Plague” نامیدهاند، آن را به عنوان یک ماژول احراز هویت قابل اتصال مخرب توصیف میکنند که از تکنیکهای مبهمسازی لایهای و دستکاری محیط برای جلوگیری از شناسایی توسط ابزارهای امنیتی سنتی استفاده میکند.
این بدافزار دارای قابلیتهای Anti-debugging برای خنثی کردن تلاشهای تجزیه و تحلیل و مهندسی معکوس، مبهمسازی رشته برای دشوارتر کردن شناسایی، رمزهای عبور کدگذاری شده برای دسترسی پنهان و همچنین قابلیت پنهان کردن نشانه های Session است که معمولاً فعالیت مهاجم را در دستگاههای آلوده مشخص میکند.
پس از لود شدن، با غیرفعال کردن متغیرهای محیطی مرتبط با SSH و هدایت تاریخچه دستورات به /dev/null برای جلوگیری از ثبت وقایع، حذف مسیرهای حسابرسی و متا دیتا ورود به سیستم و پاک کردن ردپای دیجیتال مهاجم از گزارشهای هیستوری سیستم و Sessionهای تعاملی، محیط زمان اجرا را از هرگونه اثری از فعالیت مخرب پاک میکند.
به گفته محققین امنیتی، Plague عمیقاً در stack احراز هویت ادغام میشود، از بهروزرسانیهای سیستم جان سالم به در میبرد و تقریباً هیچ اثری از خود به جا نمیگذارد. این امر همراه با مبهمسازی لایهای و دستکاری محیط، تشخیص آن را با استفاده از ابزارهای سنتی بسیار دشوار میکند.
محققان در حین تجزیه و تحلیل این بدافزار، ابزار کامپایل را نیز کشف کردند که نشان دهنده توسعه فعال در یک دوره طولانی است و نمونههایی با استفاده از نسخههای مختلف GCC در توزیعهای مختلف لینوکس کامپایل شدهاند.
علاوه بر این، اگرچه انواع مختلفی از این backdoor در طول سال گذشته در VirusTotal بارگذاری شده است، اغلب آنتیویروس ها آنها را به عنوان بدافزار علامتگذاری نکردهاند، که نشان میدهد سازندگان این بدافزار به صورت ناشناس فعالیت داشتهاند.
به گفته محققین، Plague Backdoor یک تهدید پیچیده و در حال تکامل برای زیرساختهای لینوکس است که از مکانیسمهای احراز هویت اصلی برای حفظ مخفیکاری و پایداری سوءاستفاده میکند. استفاده از مبهمسازی پیشرفته، اعتبارنامههای ایستا و دستکاری محیط، تشخیص آن را با استفاده از روشهای سنتی به ویژه دشوار میکند.
منبع:
