- Os sistemas Nextron encontraram um módulo de autenticação malicioso
- Eles o chamaram de praga depois de encontrar referências de cultura pop
- O malware é capaz de causar estragos em alvos de alto valor
Os pesquisadores de segurança encontraram um pedaço de malware Linux altamente capaz que de alguma forma voou o radar por um ano.
A Nextron Systems relatou encontrar peste, um módulo de autenticação plugável malicioso (PAM) que concede aos atacantes acesso e acesso secreto a sistemas comprometidos.
“O backdoor da praga representa uma ameaça sofisticada e em evolução à infraestrutura do Linux, explorando mecanismos de autenticação central para manter furtivamente e persistência”, explicaram os pesquisadores. “O uso de ofuscação avançada, credenciais estáticas e adulteração do meio ambiente torna particularmente difícil detectar o uso de métodos convencionais”.
Inspeção manual
O malware foi nomeado peste depois de encontrar uma referência ao Sr. Plague, um personagem do filme de 1995 Hackersem seu código.
Os pesquisadores disseram que várias amostras foram enviadas para o Virustottal no ano passado, mas nenhuma foi sinalizada como maliciosa, o que poderia indicar que o backdoor conseguiu evitar o escrutínio público e a detecção de antivírus.
A peste se integra profundamente à pilha de autenticação, sobrevive a atualizações do sistema e deixa traços forenses mínimos, explicaram os especialistas.
Emprega técnicas de ofuscação de cordas em evolução, incluindo XOR, rotinas do tipo KSA/PRGA e camada DRBG. Ele também apresenta verificações anti-debutação e mecanismos furtivos de sessão que apagam todos os traços de atividade. Os metadados do compilador também mostraram que está em desenvolvimento ativo.
Para os cibercriminosos, existem vários benefícios para esconder malware dentro dos sistemas PAM.
De acordo com um Cyberinsider Relatório, a peste pode roubar credenciais de login, tornando-o particularmente perigoso em sistemas de linux de alto valor, como hosts de bastião, servidores de salto e infraestrutura em nuvem.
“Um host de bastião comprometido ou servidor de salto pode fornecer aos invasores uma posição para se mover lateralmente através de sistemas internos, escalar privilégios ou exfiltrar dados sensíveis aos dados”, argumenta a publicação.
Além disso, um ambiente de nuvem comprometido pode conceder aos invasores acesso a várias máquinas ou serviços virtuais de uma só vez.
Como a Praga ainda não está sendo sinalizada pelas melhores ferramentas de antivírus, o Nextron aconselha os administradores a inspecionar manualmente seus dispositivos, incluindo a auditoria do diretório/Lib/Segurança para módulos de Pam Shady, monitorando arquivos de configuração de PAM em /etc/pam.d/ para alterações e buscando logins suspeitos em logs de autenticação.
Via O registro
Fique conectado