详细内容或原文请订阅后点击阅览
防病毒供应商无法发现持久,讨厌,隐形的Linux后门
“瘟疫”恶意软件已经存在了几个月,没有在德国Infosec Services Company Nextron威胁的情况下绊倒警报研究员,发现了恶意软件,该恶意软件会创建高度持久的Linux后门,并说Antivirus引擎不会将代码标记为恶意。
来源:The Register _恶意软件德国Infosec Services Company Nextron威胁的研究人员发现了恶意软件,该恶意软件创建了高度持久的Linux后门,并说Antivirus引擎不会将代码标记为恶意。
Nextron的研究员Pierre -Henri Pezier说,该公司将其称为恶意软件“瘟疫”,因为其Deobfuscusted Code包含文本“嗯。
“植入物是作为恶意的PAM(可插入身份验证模块)建造的,使攻击者能够默默绕过系统身份验证并获得持续的SSH访问权限,” Pezier上周写道,该恶意软件“深入地整合到身份验证中,可以使身份验证堆栈中的更新,并且与层次的较差无效,并使其与层次的迹象相处,并使其与层次的迹象相结合。使用传统工具检测。”
写pezier说,恶意软件“积极消毒了运行时环境,以消除SSH会话的证据。使用UNSETENV,诸如SSH_Connection和SSH_Client之类的环境变量是不设置的,而Histfile则将Histfile重定向到 /DEV /NULL以防止Shell命令命令记录。”
恶意软件似乎是可插入的身份验证模块(PAM),并使用各种技术避免检测,包括隐藏会话日志以逃避扫描,实现自定义的字符串混淆系统,并通过使用合法的LibSelinux.So.8共享库文件名来通过使用合法的libselinux.ss掩盖自身。它还包含硬编码密码,以允许操作员轻松访问。
鉴于PAM在身份验证中的作用,后门非常令人担忧。它可能可用于窃取用户帐户详细信息并进行标准身份验证验证。
担心的另一个原因是Nextron不确定如何screan鼠会安装瘟疫。更糟糕的是,Pezier写道,当事各方在2024年将瘟疫变体上传到Virustotal,但恶意软件扫描服务从未将代码标记为恶意软件。
寄存器