بدافزار جدید Plague در سیستمهای Linux بهصورت مخفیانه دسترسی SSH را حفظ میکند.
یک بدافزار جدید در سیستمعامل Linux که بیش از یک سال از شناسایی آن در امان مانده بود، به مهاجمان امکان دسترسی پایدار از طریق SSH و دور زدن مکانیزمهای احراز هویت در سیستمهای آلوده را میدهد.
پژوهشگران امنیتی Nextron Systems که این بدافزار را شناسایی و آن را “Plague” نامگذاری کردهاند، آن را یک ماژول مخرب Pluggable Authentication Module (PAM) توصیف کردهاند که با استفاده از تکنیکهای لایهای پنهانسازی (obfuscation) و دستکاری محیط اجرا (environment tampering)، از شناسایی توسط ابزارهای امنیتی سنتی اجتناب میکند.
این بدافزار دارای قابلیتهای ضداشکالزدایی (anti-debugging) برای جلوگیری از تحلیل و مهندسی معکوس، پنهانسازی رشتهها (string obfuscation) برای دشوارسازی تشخیص، گذرواژههای hardcoded برای دسترسی پنهانی، و توانایی مخفیسازی آثار نشستهای (session) مهاجم در دستگاههای آلوده است.
پس از بارگذاری، این بدافزار محیط اجرای سیستم را از هرگونه ردپای فعالیت مخرب پاکسازی میکند؛ از جمله با unset کردن متغیرهای محیطی مرتبط با SSH مانند SSH_CONNECTION و SSH_CLIENT، و تغییر مسیر فایل تاریخچه دستورات (HISTFILE) به مسیر /dev/null برای جلوگیری از ثبت دستورات، مسیرهای حسابرسی (audit trails)، و متادیتای ورود به سیستم را از بین میبرد و هرگونه رد دیجیتالی فعالیت مهاجم را از لاگهای سیستم و نشستهای تعاملی حذف میکند.
Pierre-Henri Pezier، پژوهشگر تهدیدات در Nextron، اعلام کرد:
«Plague بهطور عمیق در پشته احراز هویت سیستم ادغام میشود، از بهروزرسانیهای سیستمی جان سالم بهدر میبرد و تقریباً هیچ رد فنی قابل تحلیلی باقی نمیگذارد. ترکیب این موارد با پنهانسازی چندلایه و دستکاری محیط باعث میشود که شناسایی آن با ابزارهای سنتی تقریباً غیرممکن باشد.»
او افزود:
«این بدافزار بهطور فعال محیط اجرا را برای حذف شواهد حضور نشست SSH پاکسازی میکند. متغیرهایی نظیر SSH_CONNECTION و SSH_CLIENT با استفاده از تابع unsetenv حذف میشوند و HISTFILE به /dev/null هدایت میشود تا ثبت تاریخچه دستورات غیرفعال شود.»
در جریان تحلیل این بدافزار، پژوهشگران همچنین آثاری از فایلهای کامپایلشده مشاهده کردند که نشاندهنده توسعه فعال آن در طول زمان بوده است. نمونههایی با نسخههای مختلف GCC برای توزیعهای مختلف لینوکس کامپایل شدهاند.
با وجود آنکه نسخههای متعددی از این backdoor طی سال گذشته در پلتفرم VirusTotal آپلود شدهاند، هیچیک از موتورهای آنتیویروس آنها را بهعنوان بدافزار شناسایی نکردهاند، که نشان میدهد توسعهدهندگان آن بدون شناسایی در حال فعالیت بودهاند.
Pezier همچنین خاطرنشان کرد:
«Backdoor موسوم به Plague تهدیدی پیچیده و در حال تحول برای زیرساختهای لینوکس محسوب میشود که با بهرهگیری از مکانیزمهای اصلی احراز هویت، توانایی حفظ پایداری و مخفیکاری را دارد. استفاده از پنهانسازی پیشرفته، اعتبارنامههای ایستا (static credentials) و دستکاری محیط اجرا باعث شده که شناسایی آن با روشهای متداول بسیار دشوار باشد.»
شایان ذکر است که Nextron Systems در ماه مه نیز بدافزار دیگری را کشف کرده بود که با سوءاستفاده از انعطافپذیری زیرساخت PAM در لینوکس، امکان سرقت اطلاعات ورود، دور زدن احراز هویت، و پایداری مخفیانه بر روی سیستمهای آلوده را برای مهاجمان فراهم میکرد.