- Автор темы
- #1
Исследователи из компании Nextron Systems обнаружили новую малварь для Linux, которая оставалась незамеченной более года. Она позволяет злоумышленникам получать постоянный доступ по SSH и обходить аутентификацию на скомпрометированных системах.
Вредонос получил название Plague и представляет собой вредоносный модуль PAM (Pluggable Authentication Module). Он использует многоуровневую обфускацию и маскировку, чтобы избегать внимания со стороны защитных решений.
Plague умеет противодействовать отладке и анализу, скрывает свои строки и команды, использует жестко закодированные пароли для скрытого доступа, а также может скрывать следы сессий, которые могли бы выдать активность атакующих.
После загрузки малварь очищает окружение от следов своей активности: сбрасывает переменные окружения, связанные с SSH, и перенаправляет историю команд в /dev/null, чтобы скрыть журнал действий, метаданные и стереть цифровые следы из системных логов.
Кроме того, хотя за последний год различные версии этой малвари не раз загружались на VirusTotal, ни один антивирусный движок не распознавал их как вредоносные.
Вредонос получил название Plague и представляет собой вредоносный модуль PAM (Pluggable Authentication Module). Он использует многоуровневую обфускацию и маскировку, чтобы избегать внимания со стороны защитных решений.
Plague умеет противодействовать отладке и анализу, скрывает свои строки и команды, использует жестко закодированные пароли для скрытого доступа, а также может скрывать следы сессий, которые могли бы выдать активность атакующих.
После загрузки малварь очищает окружение от следов своей активности: сбрасывает переменные окружения, связанные с SSH, и перенаправляет историю команд в /dev/null, чтобы скрыть журнал действий, метаданные и стереть цифровые следы из системных логов.
При анализе образцов исследователи обнаружили артефакты компиляции, указывающие на длительную и активную разработку вредоноса с использованием разных версий GCC и под разные дистрибутивы Linux.
Кроме того, хотя за последний год различные версии этой малвари не раз загружались на VirusTotal, ни один антивирусный движок не распознавал их как вредоносные.