Новый Linux-бэкдор Plague: год под носом и ни одного детекта

Новый Linux-бэкдор Plague: год под носом и ни одного детекта

Новый Linux-бэкдор Plague: год под носом и ни одного детекта

Эксперты по кибербезопасности из Nextron Systems обнаружили неизвестный ранее бэкдор для Linux под названием Plague, который умудрился прятаться от всех антивирусов более года. Первые образцы вредоносного модуля начали появляться на VirusTotal ещё 29 июля 2024 года. Однако ни один из них до сих пор не был распознан как вредонос.

«Plague маскируется под модуль PAM — системы, отвечающей за аутентификацию пользователей в Linux и UNIX», — рассказывает исследователь Пьер-Анри Пезье.

Такой модуль загружается прямо в привилегированные процессы, отвечающие за вход в систему, а значит, даёт злоумышленнику возможность скрытно проходить проверку логина и пароля, а заодно получать постоянный доступ через SSH.

Более того, обнаружены сразу несколько вариантов — очевидно, что над Plague работают и развивают.

Что он умеет:

  • использовать заранее заданные логины и пароли для скрытого доступа;
  • защищаться от анализа и обратной разработки (антиотладка, шифровка строк);
  • стирать следы своего присутствия, включая следы SSH-сессий.

В частности, Plague сбрасывает переменные окружения вроде SSH_CONNECTION и SSH_CLIENT, а также перенаправляет HISTFILE в /dev/null, чтобы не велась история команд в терминале. Всё это делает бэкдор почти невидимым для систем аудита и исследования.

«Plague глубоко встраивается в цепочку аутентификации, переживает обновления системы и почти не оставляет следов», — подчёркивает Пезье.

Пока неизвестно, кто именно стоит за этой вредоносной разработкой, но факт в том, что она успешно скрывалась больше года — и это тревожный звонок для всех, кто полагается только на стандартные средства защиты Linux.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Обновление BI.ZONE PAM 2.3: двойной контроль изменений и фильтрация команд

В версии 2.3 системы управления привилегированным доступом BI.ZONE PAM появился новый механизм — так называемая «вторая рука». Теперь любые изменения в настройках, учетных записях и серверах можно проводить только после одобрения заявки другим сотрудником.

Это позволяет избежать односторонних действий, которые могут навредить инфраструктуре, и при этом ускоряет процесс подключения новых ресурсов — пользователи могут самостоятельно добавлять системы и учетные записи, а затем отправлять их на утверждение.

Также в новой версии появилась возможность фильтрации команд в SSH-сессиях. Администратор может задать список запрещенных команд — вручную или с помощью готового шаблона. Если пользователь, например, попытается перезагрузить почтовый сервер, система может отреагировать по-разному: запретить, предупредить или передать информацию в SIEM, в зависимости от роли.

«Концепция zero trust требует не только строгого контроля доступа, но и удобства для пользователей. Решения должны быстро развертываться, бесшовно интегрироваться в ИТ-ландшафт компании и не замедлять бизнес-процессы. Иначе внедрение остается формальностью, а не защитой.

В разработке BI.ZONE PAM упор делается на синергию безопасности и удобства. Мы продолжаем развивать продукт, чтобы охватить еще больше сценариев управления доступом, автоматизации процессов и контроля безопасности, а также адаптироваться к меняющимся требованиям и задачам бизнеса», — отметил Артем Назаретян, руководитель BI.ZONE PAM.

Также обновление включает более удобный интерфейс для работы с пользователями, инцидентами и группами, а настройки интеграции с LDAP и движки ротации секретов теперь можно управлять прямо из панели — раньше это требовало работы с API. Для новых инсталляций подготовлены готовые схемы с установочными скриптами.

По данным расследований BI.ZONE DFIR, во всех случаях атак с уничтожением инфраструктуры в 2025 году злоумышленники сначала получали доступ к привилегированным учеткам. Это подчеркивает важность решений класса PAM как одного из базовых элементов защиты корпоративных систем. Поскольку такие продукты влияют на работу сотен сотрудников, к их удобству и функциональности компании предъявляют всё более высокие требования.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru