Plague adlı yeni Linux zararlı yazılımı, SSH erişimini kalıcı ve görünmez şekilde sürdürüyor
Nextron Systems araştırmacıları, bir yıldan uzun süredir tespit edilmeden aktif olan “Plague” adlı Linux zararlı yazılımını ortaya çıkardı. Pluggable Authentication Module (PAM) üzerinden çalışan yazılım, katmanlı gizleme teknikleri ve ortam manipülasyonu ile tespit edilmekten kaçıyor.
Linux sistemleri hedef alan ve “Plague” olarak adlandırılan yeni bir zararlı yazılımın, saldırganlara kalıcı SSH erişimi sağladığı ve kimlik doğrulamayı atlatabildiği belirlendi. Nextron Systems güvenlik araştırmacılarının tespitine göre, bu zararlı yazılım bir Pluggable Authentication Module (PAM) bileşeni olarak çalışıyor ve güvenlik araçlarını aşmak için gelişmiş gizleme yöntemleri kullanıyor.
Plague, analiz ve tersine mühendislik girişimlerini engellemek için anti-debugging yeteneklerine sahip. Yazılım ayrıca sabitlenmiş parolalar üzerinden gizli erişim sağlıyor, saldırgan oturumlarının izlerini gizliyor, komut geçmişini /dev/null dizinine yönlendirerek kayıtların tutulmasını engelliyor ve SSH bağlantı bilgilerini sistem ortam değişkenlerinden siliyor.
Araştırmacı Pierre-Henri Pezier, zararlı yazılımın kimlik doğrulama katmanına derinlemesine entegre olduğunu, sistem güncellemelerinden etkilenmediğini ve adli izler bırakmadığını belirtti. Çeşitli Linux dağıtımlarında farklı GCC sürümleriyle derlenmiş örnekler, yazılımın uzun süredir aktif olarak geliştirildiğini gösteriyor.
Nextron Systems, son bir yılda VirusTotal’a yüklenen çok sayıda varyantın hiçbir antivirüs yazılımı tarafından zararlı olarak işaretlenmediğini, bu durumun saldırganların faaliyetlerini tespit edilmeden sürdürebildiğini ortaya koyduğunu bildirdi.
Mayıs ayında aynı şirket, PAM altyapısını kötüye kullanarak kimlik bilgilerini çalabilen, kimlik doğrulamayı atlayabilen ve kalıcı erişim sağlayabilen başka bir zararlı yazılım keşfetmişti.
Kaynak: CUMHA - CUMHUR HABER AJANSI
