محققان امنیت سایبری یک بکدور ناشناخته لینوکسی به نام Plague را شناسایی کردهاند که بیش از یک سال از شناسایی شدن توسط ابزارهای امنیتی مخفی مانده است.
طبق گزارش شرکت Nextron Systems، این بدافزار بهعنوان یک ماژول مخرب PAM (Pluggable Authentication Module) طراحی شده است که به مهاجمان امکان میدهد بهصورت خاموش احراز هویت سیستم را دور بزنند و دسترسی مداوم SSH به دست آورند.
ماژولهای احراز هویت قابلاتصال (PAM) مجموعهای از کتابخانههای اشتراکی هستند که برای مدیریت احراز هویت کاربران در برنامهها و خدمات در سیستمهای مبتنی بر لینوکس و یونیکس استفاده میشوند. با توجه به اینکه ماژولهای PAM در فرآیندهای احراز هویت با امتیاز بالا بارگذاری میشوند، یک PAM مخرب میتواند سرقت اطلاعات ورود کاربران، دور زدن بررسیهای احراز هویت و مخفی ماندن از ابزارهای امنیتی را ممکن سازد.
شرکت Nextron Systems اعلام کرد که چندین نمونه از Plague از تاریخ ۲۹ ژوئیه ۲۰۲۴ در VirusTotal بارگذاری شدهاند؛ اما هیچکدام توسط موتورهای ضدویروس بهعنوان مخرب شناسایی نشدهاند. وجود چندین نمونه نشاندهنده توسعه فعال این بدافزار توسط عاملان ناشناخته پشت آن است.
جزئیات بکدور Plague
Plague دارای چند ویژگی برجسته است: اطلاعات ورود ثابت برای دسترسی مخفیانه، مقاومت در برابر تحلیل و مهندسی معکوس با استفاده از ضددیباگ و مبهمسازی رشتهها و افزایش مخفیکاری با حذف شواهد جلسات SSH. مورد آخر از طریق حذف متغیرهای محیطی مانند SSH_CONNECTION و SSH_CLIENT با استفاده از unsetenv و هدایت HISTFILE به /dev/null برای جلوگیری از ثبت دستورات شل انجام میشود تا هیچ ردپای حسابرسی باقی نماند.
طبق گزارش Nextron Systems، Plague بهطور عمیق در پشته احراز هویت ادغام میشود، از بهروزرسانیهای سیستم جان سالم به در میبرد و تقریبا هیچ ردپای جرمشناسی باقی نمیگذارد. ترکیب این ویژگیها با مبهمسازی چندلایه و دستکاری محیط، شناسایی آن را با ابزارهای سنتی بسیار دشوار میکند.
