Внимание: новый вирус обходит антивирусы!

Ключевые моменты

• Компания Nextron Systems обнаружила вредоносный подключаемый модуль аутентификации
• Они назвали его Plague, найдя отсылки к поп-культуре
• Вредоносная программа способна нанести серьёзный ущерб важным объектам

Исследователи в области безопасности обнаружили мощный Linux- вредоносный код, который каким-то образом оставался незамеченным в течение года.

Компания Nextron Systems сообщила об обнаружении Plague — вредоносного подключаемого модуля аутентификации (PAM), который предоставляет злоумышленникам постоянный скрытый доступ к взломанным системам.

Видео от DGL.RU

«Бэкдор Plague представляет собой сложную и постоянно развивающуюся угрозу для инфраструктуры Linux, использующую основные механизмы аутентификации для обеспечения скрытности и постоянства, — объяснили исследователи. — Из-за использования продвинутой обфускации, статических учётных данных и подмены среды его особенно сложно обнаружить с помощью традиционных методов».

Ручной осмотр

Вредоносную программу назвали Plague после того, как в её коде нашли отсылку к мистеру Плэгу, персонажу из фильма 1995 года «Хакеры».

По словам исследователей, за последний год на VirusTotal было загружено множество образцов, но ни один из них не был помечен как вредоносный. Это может указывать на то, что бэкдору удалось избежать общественного контроля и обнаружения антивирусами.

Plague глубоко интегрируется в систему аутентификации, выдерживает обновления системы и оставляет минимум следов для криминалистической экспертизы, пояснили эксперты.

В нём используются усовершенствованные методы обфускации строк, в том числе XOR, процедуры, подобные KSA/PRGA, и уровень DRBG. В нём также предусмотрены средства защиты от отладки и механизмы скрытия сеансов, которые стирают все следы активности. Метаданные компилятора также свидетельствуют о том, что он находится в активной разработке.

Для киберпреступников вредоносные программы, скрытые в системах PAM, имеют множество преимуществ.

Согласно CyberInsider отчёту, Plague может похищать учётные данные для входа, что делает его особенно опасным для важных систем Linux, таких как бастионные хосты, промежуточные серверы и облачная инфраструктура.

«Взломанный бастионный хост или промежуточный сервер могут предоставить злоумышленникам плацдарм для горизонтального перемещения по внутренним системам, повышения привилегий или кражи конфиденциальных данных», — утверждается в публикации.

Кроме того, скомпрометированная облачная среда может предоставить злоумышленникам доступ сразу к нескольким виртуальным машинам или сервисам.

Поскольку Plague до сих пор не распознаётся лучшими антивирусными программами, Nextron рекомендует администраторам вручную проверять свои устройства, в том числе просматривать каталог /lib/security на наличие сомнительных модулей PAM, отслеживать изменения в файлах конфигурации PAM в /etc/pam.d/ и искать подозрительные логины в журналах аутентификации.

7 способов, на которых Linux сэкономит вам кучу денег