如何检测"瘟疫"后门:针对Linux认证层的隐形攻击
安全研究人员发现了一种异常隐蔽的Linux后门,甚至能逃过VirusTotal的检测。这个被Nextron团队命名为"瘟疫"的恶意软件通过伪装成可插拔认证模块(PAM),使攻击者能够绕过认证并建立持久的SSH访问通道。
“瘟疫深度集成在认证栈中,可存活于系统更新过程,且几乎不留取证痕迹,“研究人员在博客中指出,“结合分层混淆和环境篡改技术,使得传统检测工具极难发现其存在。”
深度潜伏的认证劫持
该恶意软件自2024年7月29日开始活跃,到2025年3月已出现多个变种。研究人员发现的样本包含针对Debian、Ubuntu等Linux发行版的编译痕迹,表明攻击者可能针对广泛的Linux环境。
“瘟疫"通过名为libselinus.so.8的共享库文件运作,劫持了pam_sm_authenticate()等PAM核心函数——这些函数正是系统验证用户登录凭证的关键机制。这种注入方式使得恶意代码成为登录流程的一部分,攻击者仅需使用硬编码密码即可获得隐蔽后门。
绕过传统检测的技术原理
该后门之所以能长期潜伏,关键在于其设计理念:
- 无独立加载器:直接操作认证层,无需额外持久化机制
- 升级抵抗性:随PAM栈调用自动激活(如SSH或sudo时)
- 多层混淆:
- 早期版本采用简单XOR编码
- 新变种使用KSA/PRGA算法和DRBG阶段的多层加密
- 环境感知:运行时检测分析环境并改变行为模式
VirusTotal数据显示,过去一年上传的数十个变种样本检测率均为0/66。研究人员在样本中甚至发现了对电影《黑客》的引用:“呃,瘟疫先生?我们好像遇到黑客了”。
防御建议
Nextron建议企业采取以下应对措施:
- 实施基于行为的检测方案
- 加强内存取证能力
- 定期审计PAM配置
- 监控/lib/security/目录下的.so文件变更
- 追踪环境变量篡改行为
该威胁的出现标志着Linux系统面临的新型高级持久性威胁,安全团队需要超越传统特征码检测,转向更深入的系统行为监控。