Основы Интернет - технологий.

Исследователи из компании Nextron Systems обнаружили новую малварь для Linux, которая оставалась незамеченной более года. Она позволяет злоумышленникам получать постоянный доступ по SSH и обходить аутентификацию на скомпрометированных системах. Вредонос получил название Plague и представляет собой вредоносный модуль PAM (Pluggable Authentication Module). Он использует многоуровневую обфускацию и маскировку, чтобы избегать внимания со стороны защитных решений. Plague умеет противодействовать отладке и анализу, скрывает свои строки и команды, использует жестко закодированные пароли для скрытого доступа, а также может скрывать следы сессий, которые могли бы выдать активность атакующих. После загрузки малварь очищает окружение от следов своей активности: сбрасывает переменные окружения, связанные с SSH, и перенаправляет историю команд в /dev/null, чтобы скрыть журнал действий, метаданные и стереть цифровые следы из системных логов. «Plague глубоко встраивается в стек аутентификации, может “пережить” обновление системы и практически не оставляет следов. В сочетании с обфускацией и модификацией окружения это делает Plague почти неуловимым для традиционных защитных инструментов, — рассказывает специалист Nextron Systems Пьер-Анри Пезье (Pierre-Henri Pezier). — Вредонос активно очищает среду выполнения, чтобы скрывать SSH-сессии. Такие переменные, как SSH_CONNECTION и SSH_CLIENT, удаляются с помощью unsetenv, а HISTFILE перенаправляется в /dev/null, чтобы избежать логирования». При анализе образцов исследователи обнаружили артефакты компиляции, указывающие на длительную и активную разработку вредоноса с использованием разных версий GCC и под разные дистрибутивы Linux. Кроме того, хотя за последний год различные версии этой малвари не раз загружались на VirusTotal, ни один антивирусный движок не распознавал их как вредоносные. «Plague — это продвинутая и постоянно развивающаяся угроза для Linux. Она использует базовые механизмы аутентификации для скрытного и устойчивого присутствия в системе, — добавляет Пезье. — Сложная обфускация, статичные учетные данные и манипуляции со средой выполнения делают ее практически невидимой для стандартных защитных средств».