นักวิจัยด้านความมั่นคงปลอดภัยทางไซเบอร์ ตรวจพบ Backdoor บนระบบ Linux ที่ไม่เคยมีการเปิดเผยมาก่อน ซึ่งถูกตั้งชื่อว่า “Plague” ซึ่งสามารถหลบเลี่ยงการตรวจจับได้เป็นเวลากว่าหนึ่งปี
Pierre-Henri Pezier นักวิจัยจาก Nextron Systems ระบุว่า “มัลแวร์ตัวนี้ถูกสร้างขึ้นในรูปแบบของ PAM (Pluggable Authentication Module) ที่เป็นอันตราย ซึ่งช่วยให้ผู้โจมตีสามารถหลบเลี่ยงกระบวนการยืนยันตัวตนของระบบได้อย่างเงียบ ๆ และสามารถเข้าถึง SSH ได้อย่างถาวร”
Pluggable Authentication Modules คือชุดของไลบรารีที่ใช้ร่วมกันในการจัดการการยืนยันตัวตนของผู้ใช้งานกับแอปพลิเคชัน และบริการต่าง ๆ บนระบบปฏิบัติการ Linux และ UNIX
เนื่องจากโมดูล PAM ถูกโหลดเข้าไปในกระบวนการยืนยันตัวตนที่มีสิทธิพิเศษ PAM ปลอม จึงสามารถขโมยข้อมูล credentials ของผู้ใช้ หลบเลี่ยงขั้นตอนการตรวจสอบตัวตน และไม่ถูกตรวจจับจากเครื่องมือด้านความปลอดภัย
บริษัทด้านความปลอดภัยทางไซเบอร์เปิดเผยว่า พวกเขาค้นพบไฟล์ของมัลแวร์ “Plague” หลายรายการที่ถูกอัปโหลดไปยัง VirusTotal ตั้งแต่วันที่ 29 กรกฎาคม 2024 โดยไม่มีไฟล์ใดถูกตรวจพบว่าเป็นอันตรายจากเครื่องมือป้องกันมัลแวร์เลย ยิ่งไปกว่านั้น การปรากฏของตัวอย่างหลายไฟล์ยังแสดงให้เห็นว่ามีการพัฒนาอย่างต่อเนื่องจากกลุ่มผู้โจมตีที่ยังไม่ทราบตัวตน
Plague มีคุณสมบัติเด่น 4 ประการ ได้แก่ การใช้ Static Credentials ที่ช่วยให้เข้าถึงแบบ covert access ได้ ความสามารถในการต่อต้านการวิเคราะห์ และ Reverse Engineering โดยใช้เทคนิค anti-debugging และ string obfuscation และความสามารถในการซ่อนตัวที่เพิ่มขึ้นด้วยการลบหลักฐานการใช้งาน SSH
การดำเนินการนี้ทำได้โดยการยกเลิกการตั้งค่า environment variables เช่น SSH_CONNECTION และ SSH_CLIENT ด้วยคำสั่ง unsetenv และ redirect HISTFILE ไปยัง /dev/null เพื่อหลีกเลี่ยง shell command logging ซึ่งช่วยไม่ให้มีร่องรอยใน audit trail
Pezier ระบุว่า “Plague สามารถผสานรวมเข้ากับระบบการยืนยันตัวตนของระบบ อยู่รอดได้แม้มีการอัปเดตระบบ และแทบไม่ทิ้งหลักฐานไว้เลย” “เมื่อรวมกับเทคนิคการ obfuscation หลายชั้น และการปรับเปลี่ยน environment ของระบบแล้ว มัลแวร์นี้จึงยากต่อการตรวจจับด้วยเครื่องมือแบบดั้งเดิมอย่างยิ่ง”
ที่มา : thehackernews
You must be logged in to post a comment.