如何发现这个隐形威胁?
Nextron安全研究人员发现,这个被命名为"Plague"的后门程序通过伪装成Linux可插拔认证模块(PAM)实现深度潜伏。恶意共享库文件(libselinus.so.8)会劫持pam_sm_authenticate()等关键认证函数,在用户登录验证环节植入后门。
技术架构解析
认证栈深度集成
- 无需独立加载器或持久化机制
- 通过硬编码密码建立隐蔽通道
- 在SSH或sudo调用PAM栈时自动触发
高级规避技术
- 早期版本使用XOR字符串编码
- 新变种采用KSA/PRGA和DRBG多层加密
- 编译时针对Debian/Ubuntu等发行版定制
检测困境
VirusTotal上数十个变种样本均显示0/66检出率。研究人员指出:“过去一年上传的多个变种,没有任何杀毒引擎将其标记为恶意。”
防御建议
- 采用基于行为的检测策略
- 监控/lib/security/目录下的.so文件
- 审计PAM配置变更
- 追踪环境级篡改行为
“就像电影《黑客》中的台词:‘普拉格先生,我想我们被入侵了’——某个样本在pam-authenticate后显示了这条信息。“研究人员在分析反混淆例程时发现了这个流行文化彩蛋。