FreeBuf.COM网络安全行业门户，每日发布专业的安全资讯、技术剖析。

网络安全研究人员近日发现了一种名为Plague的新型Linux后门程序，该恶意软件已成功躲避检测长达一年之久。Nextron Systems研究员Pierre-Henri Pezier表示："该植入程序被构建为恶意的PAM（可插拔认证模块），使攻击者能够静默绕过系统认证，获得持久的SSH访问权限。"

PAM模块成为攻击载体

可插拔认证模块（Pluggable Authentication Module，PAM）是Linux和UNIX系统中用于管理用户对应用程序和服务认证的一套共享库。由于PAM模块会被加载到特权认证进程中，恶意PAM模块可以实现用户凭证窃取、绕过认证检查，同时不被安全工具检测到。

长期未被发现的恶意活动

网络安全公司表示，自2024年7月29日起，他们在VirusTotal上发现了多个Plague样本，但没有任何反恶意软件引擎将其检测为恶意程序。更值得注意的是，多个样本的存在表明幕后未知威胁行为者正在积极开发该恶意软件。

四大显著特征增强隐蔽性

Plague具有四大显著特征：

1. 使用静态凭证实现隐蔽访问
2. 通过反调试和字符串混淆技术抵抗分析与逆向工程
3. 通过清除SSH会话证据增强隐蔽性
4. 通过取消设置SSH_CONNECTION和SSH_CLIENT等环境变量，并将HISTFILE重定向到/dev/null来防止shell命令记录，从而避免留下审计痕迹

Pezier指出："Plague深度集成到认证堆栈中，能够存活于系统更新过程，几乎不留下任何取证痕迹。结合分层混淆和环境篡改技术，这使得使用传统工具极难检测到它的存在。"

参考来源：

New ‘Plague’ PAM Backdoor Exposes Critical Linux Systems to Silent Credential Theft

本文为 独立观点，未经授权禁止转载。
如需授权、对文章有疑问或需删除稿件，请联系 FreeBuf 客服小蜜蜂（微信：freebee1024）