- Sistem Nextron menemukan modul otentikasi pluggable berbahaya
- Mereka menamainya wabah setelah menemukan referensi budaya pop
- Malware mampu mendatangkan malapetaka di seluruh target bernilai tinggi
Peneliti keamanan telah menemukan sepotong malware Linux yang sangat cakap yang entah bagaimana menerbangkan radar selama setahun.
Nextron Systems melaporkan Finding Plague, Modul Otentikasi Pluggable Malicious (PAM) yang memberikan penyerang yang persisten, akses terselubung ke sistem yang dikompromikan.
“Plague backdoor mewakili ancaman yang canggih dan berkembang terhadap infrastruktur Linux, mengeksploitasi mekanisme otentikasi inti untuk mempertahankan siluman dan kegigihan,” jelas para peneliti. “Penggunaan kebingungan lanjutan, kredensial statis, dan perusakan lingkungan membuatnya sangat sulit untuk dideteksi menggunakan metode konvensional.”
Inspeksi Manual
Malware dinamai wabah setelah menemukan referensi ke Mr. Plague, karakter dari film 1995 Peretasdalam kodenya.
Para peneliti mengatakan bahwa beberapa sampel diunggah ke VirusTotal selama setahun terakhir, namun tidak ada yang ditandai sebagai jahat, yang dapat mengindikasikan pintu belakang yang dikelola untuk menghindari pengawasan publik dan deteksi antivirus.
Wabah terintegrasi secara mendalam ke dalam tumpukan otentikasi, selamat dari pembaruan sistem, dan meninggalkan jejak forensik minimal, para ahli menjelaskan.
Ini menggunakan teknik pengayaan string yang berkembang, termasuk rutinitas XOR, KSA/PRGA, dan lapisan DRBG. Ini juga dilengkapi pemeriksaan anti-debugging dan mekanisme siluman sesi yang menghapus semua jejak aktivitas. Metadata kompiler juga menunjukkan bahwa itu dalam pengembangan aktif.
Untuk penjahat dunia maya, ada beberapa manfaat bagi malware yang bersembunyi di dalam sistem PAM.
Menurut a CyberInsider Laporan, wabah dapat mencuri kredensial login, menjadikannya sangat berbahaya pada sistem Linux bernilai tinggi seperti host benteng, server jump, dan infrastruktur cloud.
“Host benteng atau server lompatan yang dikompromikan dapat memberikan penyerang dengan pijakan untuk bergerak secara lateral di seluruh sistem internal, meningkatkan hak istimewa, atau mengekspiltrat data sensitif,” publikasi tersebut berpendapat.
Selain itu, lingkungan cloud yang dikompromikan dapat memberi para penyerang akses ke beberapa mesin atau layanan virtual sekaligus.
Karena wabah masih belum ditandai oleh alat antivirus terbaik, Nextron menyarankan admin untuk memeriksa perangkat mereka secara manual, termasuk mengaudit/Lib/direktori keamanan untuk modul PAM yang teduh, memantau file konfigurasi PAM di /etc/pam.d/ untuk perubahan, dan mencari login yang mencurigakan dalam log otentikasi.
Melalui Register
