بدافزار جدید Plague در سیستم‌های Linux به‌صورت مخفیانه دسترسی SSH را حفظ می‌کند.

سجاد تیموری 3 هفته پیشآخرین بروزرسانی: مرداد ۱۷, ۱۴۰۴

۰ 5 زمان تقریبی مطالعه 2 دقیقه

بدافزار جدید Plague در سیستم‌های Linux به‌صورت مخفیانه دسترسی SSH را حفظ می‌کند.

یک بدافزار جدید در سیستم‌عامل Linux که بیش از یک سال از شناسایی آن در امان مانده بود، به مهاجمان امکان دسترسی پایدار از طریق SSH و دور زدن مکانیزم‌های احراز هویت در سیستم‌های آلوده را می‌دهد.

پژوهشگران امنیتی Nextron Systems که این بدافزار را شناسایی و آن را “Plague” نام‌گذاری کرده‌اند، آن را یک ماژول مخرب Pluggable Authentication Module (PAM) توصیف کرده‌اند که با استفاده از تکنیک‌های لایه‌ای پنهان‌سازی (obfuscation) و دستکاری محیط اجرا (environment tampering)، از شناسایی توسط ابزارهای امنیتی سنتی اجتناب می‌کند.

این بدافزار دارای قابلیت‌های ضد‌اشکال‌زدایی (anti-debugging) برای جلوگیری از تحلیل و مهندسی معکوس، پنهان‌سازی رشته‌ها (string obfuscation) برای دشوارسازی تشخیص، گذرواژه‌های hardcoded برای دسترسی پنهانی، و توانایی مخفی‌سازی آثار نشست‌های (session) مهاجم در دستگاه‌های آلوده است.

پس از بارگذاری، این بدافزار محیط اجرای سیستم را از هرگونه ردپای فعالیت مخرب پاک‌سازی می‌کند؛ از جمله با unset کردن متغیرهای محیطی مرتبط با SSH مانند SSH_CONNECTION و SSH_CLIENT، و تغییر مسیر فایل تاریخچه دستورات (HISTFILE) به مسیر /dev/null برای جلوگیری از ثبت دستورات، مسیرهای حسابرسی (audit trails)، و متادیتای ورود به سیستم را از بین می‌برد و هرگونه رد دیجیتالی فعالیت مهاجم را از لاگ‌های سیستم و نشست‌های تعاملی حذف می‌کند.

Pierre-Henri Pezier، پژوهشگر تهدیدات در Nextron، اعلام کرد:
«Plague به‌طور عمیق در پشته احراز هویت سیستم ادغام می‌شود، از به‌روزرسانی‌های سیستمی جان سالم به‌در می‌برد و تقریباً هیچ رد فنی قابل تحلیلی باقی نمی‌گذارد. ترکیب این موارد با پنهان‌سازی چندلایه و دستکاری محیط باعث می‌شود که شناسایی آن با ابزارهای سنتی تقریباً غیرممکن باشد.»

او افزود:
«این بدافزار به‌طور فعال محیط اجرا را برای حذف شواهد حضور نشست SSH پاک‌سازی می‌کند. متغیرهایی نظیر SSH_CONNECTION و SSH_CLIENT با استفاده از تابع unsetenv حذف می‌شوند و HISTFILE به /dev/null هدایت می‌شود تا ثبت تاریخچه دستورات غیرفعال شود.»

در جریان تحلیل این بدافزار، پژوهشگران همچنین آثاری از فایل‌های کامپایل‌شده مشاهده کردند که نشان‌دهنده توسعه فعال آن در طول زمان بوده است. نمونه‌هایی با نسخه‌های مختلف GCC برای توزیع‌های مختلف لینوکس کامپایل شده‌اند.

با وجود آن‌که نسخه‌های متعددی از این backdoor طی سال گذشته در پلتفرم VirusTotal آپلود شده‌اند، هیچ‌یک از موتورهای آنتی‌ویروس آن‌ها را به‌عنوان بدافزار شناسایی نکرده‌اند، که نشان می‌دهد توسعه‌دهندگان آن بدون شناسایی در حال فعالیت بوده‌اند.

Pezier همچنین خاطرنشان کرد:
«Backdoor موسوم به Plague تهدیدی پیچیده و در حال تحول برای زیرساخت‌های لینوکس محسوب می‌شود که با بهره‌گیری از مکانیزم‌های اصلی احراز هویت، توانایی حفظ پایداری و مخفی‌کاری را دارد. استفاده از پنهان‌سازی پیشرفته، اعتبارنامه‌های ایستا (static credentials) و دستکاری محیط اجرا باعث شده که شناسایی آن با روش‌های متداول بسیار دشوار باشد.»

شایان ذکر است که Nextron Systems در ماه مه نیز بدافزار دیگری را کشف کرده بود که با سوءاستفاده از انعطاف‌پذیری زیرساخت PAM در لینوکس، امکان سرقت اطلاعات ورود، دور زدن احراز هویت، و پایداری مخفیانه بر روی سیستم‌های آلوده را برای مهاجمان فراهم می‌کرد.