Um malware Linux recém-descoberto, que evitou a detecção por mais de um ano, permite que os invasores obtenham acesso SSH persistente e ignorem a autenticação em sistemas comprometidos.
Os pesquisadores de segurança da Nextron Systems, que identificaram o malware e o apelidaram de “Plague”, o descrevem como um Pluggable Authentication Module (PAM) malicioso que usa técnicas de ofuscação em camadas e adulteração de ambiente para evitar a detecção por ferramentas de segurança tradicionais.
Esse malware apresenta recursos anti-depuração para impedir tentativas de análise e engenharia reversa, ofuscação de strings para dificultar a detecção, senhas codificadas para acesso secreto, bem como a capacidade de ocultar artefatos de sessão que normalmente revelariam a atividade do invasor em dispositivos infectados.
Uma vez carregado, ele também limpará o ambiente de tempo de execução de quaisquer vestígios de atividade maliciosa, desconfigurando variáveis de ambiente relacionadas ao SSH e redirecionando o histórico de comandos para /dev/null para evitar registros, eliminando trilhas de auditoria e metadados de login e apagando a pegada digital do invasor dos logs do histórico do sistema e sessões interativas.
“O Plague se integra profundamente à pilha de autenticação, sobrevive às atualizações do sistema e quase não deixa rastros forenses. Combinado com ofuscação em camadas e adulteração do ambiente, isso torna excepcionalmente difícil detectar usando ferramentas tradicionais”, pesquisador de ameaças Pierre-Henri Pezier disse.
“O malware higieniza ativamente o ambiente de tempo de execução para eliminar evidências de uma sessão SSH. Variáveis de ambiente, como SSH_CONNECTION e SSH_CLIENT, não são definidas usando unsetenv, enquanto HISTFILE é redirecionado para /dev/null para evitar o registro de comandos shell.”
Ao analisar o malware, os pesquisadores também descobriram artefatos de compilação indicando desenvolvimento ativo por um longo período, com amostras compiladas usando várias versões do GCC em diferentes distribuições do Linux.
Além disso, embora várias variantes do backdoor tenham sido carregadas no VirusTotal no ano passado, nenhum dos mecanismos antivírus os sinalizou como maliciosos, sugerindo que os criadores do malware estão operando sem serem detectados.
“O backdoor Plague representa uma ameaça sofisticada e em evolução à infraestrutura do Linux, explorando os principais mecanismos de autenticação para manter a discrição e a persistência”, acrescentou Pezier. “Seu uso de ofuscação avançada, credenciais estáticas e adulteração de ambiente torna particularmente difícil detectá-lo usando métodos convencionais.”
Em maio, a Nextron Systems descobriu outro malware explorando a flexibilidade da infraestrutura de autenticação PAM (Pluggable Authentication Modules) Linux, que permite que seus criadores roubem credenciais, ignorem a autenticação e obtenham persistência furtiva em dispositivos comprometidos.
