Linux “ 瘟疫 ” 后门肆虐：无痕窃取隐私数据、持久掌控 SSH 访问权限

主要观点总结

安全公司Nextron Research发现了一种名为“瘟疫”（Plague）的恶意PAM模块。该后门能绕过系统认证，窃取敏感数据，并控制SSH持久访问权。它采用多种混淆技术和反调试方法，在系统更新后依然存在，且不会留下日志。研究人员已创建解密工具来应对此后门，指出其具有持续发展和适应环境的能力。

关键观点总结

关键观点1: 关于发现的主体及名称由来

安全公司 Nextron Research 使用 YARA 规则在 Linux 系统中意外发现了一种此前未被记录的 PAM 基础后门，并将其命名为“瘟疫”（Plague）。

关键观点2: Plague后门的功能和特点

Plague 作为恶意的 PAM 模块，可以绕过系统认证，窃取敏感隐私数据，并掌控 SSH 的持久访问权。它伪装成常见的系统库，采用多种混淆技术和反调试方法，几乎不留下任何证据。

关键观点3: Plague的检测和应对

研究人员使用 Unicorn + IDA 创建了定制解密工具来应对 Plague 后门。该工具能够在系统更新后依然检测并应对该后门。

关键观点4: Plague的发展情况

Plague 自从成立以来在一年多的时间里表现出了持续发展和适应能力，并在不同环境中编译出了多个样本。

免责声明