Поделиться
Более года опасный вредонос Plague заражал Linux, будучи полностью незамеченным
Исследователи, обнаружившие и описавшие вредоносную программу, подчеркнули полное отсутствие реакции на неё на платформе VirusTotal.
Моровая невидимка
Эксперты по кибербезопасности компании Nextron Systems выловили вредоносную программу под среду Linux, которая на протяжении более чем года оставалась незамеченной. На момент публикации Nextron ни одно защитное решение на платформе VirusTotal не распознавало сэмплы этой программы как нечто вредоносное.
Программа получила условное обозначение Plague (англ. мор, чума). По описанию специалистов Nextron, она представляет собой вредоносный вариант подключаемого модуля аутентификации (Pluggable Authentication Module - PAM). PAM представляют собой наборы динамически подключаемых библиотек с параллельным доступом, которые позволяют интегрировать различные низкоуровневые методы аутентификации в виде единого высокоуровневого API. Проще говоря, PAM позволяют приложениям использовать различные механизмы аутентификации, без привязке к какой-либо одной схеме.
Задачей Plague, однако, является не только обеспечение доступа через SSH к целевой системе, но и заметание любых следов.
Вредонос снабжен продвинутыми средствами обеспечения собственной скрытности. В частности, используются многослойная обфускация и инструменты противодействия анализу и реверс-инженерии (в изолированных и отладочных средах вредонос не запускается). Помимо этого Plague скрывает любые артефакты, которые могли бы выдать присутствие злоумышленника в скомпрометированной системе.
Сразу после загрузки вредонос сбрасывает значения всех переменных сред, относящихся к SSH и перенаправляет историю команд на /dev/null, так, чтобы отключить журналирование, устраняет аудит-логи и метаданные входа, и в целом удаляет все следы злоумышленника из системных логов интерактивных сессий.
«Plague глубоко интегрируется в стек аутентификации, способен пережить обновления системы и почти не оставляет следов, которыми могли бы воспользоваться аналитики ИБ», - отметил один из авторов исследования Пьер-Анри Пэзье (Pierre-Henri Pezier). - Вкупе с многослойной обфускацией и способностью перенастраивать системное окружение, вредонос оказывается очень сложно выявить, используя традиционные инструменты.»
Новая модель угроз
В ходе анализа вредоноса исследователи обнаружили артефакты компиляции, которые свидетельствуют о том, что разработка Plague велась длительное время. Различные версии создавались под разные дистрибутивы Linux с использованием разных версий компилятора GCC.
Как выясняется, в течение целого года на VirusTotal так или иначе загружались разные варианты Plague, однако все представленные там защитные средства продолжали его игнорировать.
Т«еперь ситуация, скорее всего, изменится: после выхода исследования есть надежда, что «летать ниже радара» у этого вредоноса больше не получится, по крайней мере, в течение некоторого времени», - считает Анастасия Мельникова, директор по информационной безопасности компании SEQ.« Но нельзя исключать, что разработчики найдут новые методы для того, чтобы обеспечить своему изделию невидимость. У этой гонки вооружений пределов нет».
Не далее как в мае этого года специалисты Nextron Systems выявили другую вредоносную программу, которая также эксплуатировала особенности PAM в средах Linux. Вредоносное ПО позволяло его операторам красть реквизиты доступа, обходим аутентификацию и скрытно сохранять доступ к скомпрометированным системам на протяжении длительного времени.
Уже тогда исследователи указывали, что речь идет о новой модели угроз.
Короткая ссылка
