详细内容或原文请订阅后点击阅览
新的Linux后门鼠疫通过恶意PAM模块绕过auth
隐身的Linux后门名为Plague,隐藏为恶意PAM模块,允许攻击者绕过Auth并保持持久的SSH访问。 Nextron系统研究人员发现了一个新的隐形Linux后门,称为瘟疫,隐藏为恶意PAM(可插入的身份验证模块)模块。它默默绕过身份验证并授予持续的SSH访问。可插入的身份验证模块[…]
来源:Security Affairs _恶意软件新的Linux后门鼠疫通过恶意PAM模块绕过auth
隐身的Linux后门名为Plague,隐藏为恶意PAM模块,允许攻击者绕过Auth并保持持久的SSH访问。
Nextron系统研究人员发现了一种新的隐形Linux后门,称为瘟疫,隐藏为恶意PAM(可插入的身份验证模块)模块。它默默绕过身份验证并授予持续的SSH访问。
可插入的身份验证模块(PAM)是一种灵活的系统,用于UNIX样操作系统(例如Linux)来管理身份验证任务。简而言之,PAM允许系统管理员插入不同的身份验证方法(例如密码,指纹或智能卡),而无需更改诸如登录,sudo或sshd之类的程序。
登录
sudo
sshd
专家指出,尽管该后门的几种变体在过去一年中已被上传到Virustotal,但他们一直被标记为非alicious。
,尽管该后门的几种变体在过去一年中已上传到Virustotal,但它们始终被标记为非恶性 上传到Virustotal瘟疫后门包括高级功能,例如抗抑郁,以防止分析,将静态数据掩盖,静态密码的静态密码以及擦除会话伪像以避免检测,使其成为隐秘且持久的威胁。
鼠疫后门使用越来越复杂的弦混淆来避免检测。早期版本依赖于简单的XOR加密,但是后来的样本实现了自定义KSA/PRGA状例程,最新样本添加了DRBG(确定性随机位生成器)层。这些变化旨在通过隐藏字符串及其内存偏移来阻止自动分析和手动分析。为了解决这个问题,研究人员使用Unicorn构建了一个自定义的IDA Pro插件来模仿和提取字符串。
,
ld.so..preload
/dev/null
黑客
pam_authenticate
在Twitter上关注我:@securityaffairs和Facebook和Mastodon
@securityaffairs Facebook