Оффлайн
- Регистрация
- 9 Май 2015
- Сообщения
- 1,483
- Баллы
- 155
Исследователи из компании Nextron Systems новую малварь для Linux, которая оставалась незамеченной более года. Она позволяет злоумышленникам получать постоянный доступ по SSH и обходить аутентификацию на скомпрометированных системах.
Вредонос получил название Plague и представляет собой вредоносный модуль (Pluggable Authentication Module). Он использует многоуровневую обфускацию и маскировку, чтобы избегать внимания со стороны защитных решений.
Plague умеет противодействовать отладке и анализу, скрывает свои строки и команды, использует жестко закодированные пароли для скрытого доступа, а также может скрывать следы сессий, которые могли бы выдать активность атакующих.
После загрузки малварь очищает окружение от следов своей активности: сбрасывает переменные окружения, связанные с SSH, и перенаправляет историю команд в /dev/null, чтобы скрыть журнал действий, метаданные и стереть цифровые следы из системных логов.
При анализе образцов исследователи обнаружили артефакты компиляции, указывающие на длительную и активную разработку вредоноса с использованием разных версий GCC и под разные дистрибутивы Linux.
Кроме того, хотя за последний год различные версии этой малвари не раз загружались на VirusTotal, ни один антивирусный движок не распознавал их как вредоносные.