В Linux-сообществе – тревога: исследователи из Nextron Systems обнаружили продвинутый и крайне скрытный бэкдор под названием Plague. Он маскируется под легитимный модуль PAM – системы, которая отвечает за аутентификацию пользователей. Plague позволяет злоумышленникам обходить системную аутентификацию, получать доступ по SSH, а также перехватывать логины и пароли пользователей.
Обнаружить бэкдор удалось только недавно, благодаря анализу артефактов, загруженных на VirusTotal еще в конце июля 2024 года. Plague не использует баги ядра, не взламывает права или процессы. Он становится частью системы, внедряясь туда, где его не ждут. И это куда страшнее. Ведь если подменить доверенный компонент, никакой антивирус, никакая система мониторинга не поможет. Потому что все привычно ищут аномалии, а Plague аномалией не выглядит.
Звучит как сюжет фильма? Так вот – в коде действительно есть цитата из киберпанк-фильма «Хакеры» 1995 года:
Uh. Mr. The Plague, sir? I think we have a hacker.
Так имплант и получил свое имя. Но если убрать романтику, это не весело. Потому что Plague – это не про атаку через дыру в безопасности. Это про то, как злоумышленники незаметно меняют кирпич в фундаменте вашего дома на свой. Система, основанная на доверии к «легитимным» компонентам, трещит. Больше нельзя верить файлу просто потому, что он лежит в нужной папке.
Вокруг данного бэкдора пока много неизвестных. Но мне интересно посмотреть на него не с точки зрения проблем его обнаружения, а с позиции ограничения ущерба от подобных неизвестных видов атак.
Известно, что Plague, заразив/загрузив PAM-модуль, прятал историю команд, чтобы скрыть SSH-сессию. Напомню, что PAM — это библиотека, выполняемая с привилегиями того приложения, которое ее вызывает. А теперь подумаем: действительно ли многим приложениям стоит предоставлять права на изменение настроек истории команд? Кстати сказать, в данном случае история команд перенаправлялась в /dev/null через редактирование переменных окружения, но почему вообще сохранение истории задается через них?
Мне видится причина в низкой гранулярности привилегий в традиционных ОС. В KasperskyOS и других микроядерных системах большое внимание уделяется тонкой, высокогранулярной настройке прав доступа (по принципу Least Privilege). Именно это позволяет минимизировать последствия, даже в случае проникновения зловреда.
В Linux-сообществе – тревога: исследователи из Nextron Systems обнаружили продвинутый и крайне скрытный бэкдор под названием Plague. Он маскируется под легитимный модуль PAM – системы, которая отвечает за аутентификацию пользователей. Plague позволяет злоумышленникам обходить системную аутентификацию, получать доступ по SSH, а также перехватывать логины и пароли пользователей.
Обнаружить бэкдор удалось только недавно, благодаря анализу артефактов, загруженных на VirusTotal еще в конце июля 2024 года. Plague не использует баги ядра, не взламывает права или процессы. Он становится частью системы, внедряясь туда, где его не ждут. И это куда страшнее. Ведь если подменить доверенный компонент, никакой антивирус, никакая система мониторинга не поможет. Потому что все привычно ищут аномалии, а Plague аномалией не выглядит.
Звучит как сюжет фильма? Так вот – в коде действительно есть цитата из киберпанк-фильма «Хакеры» 1995 года:
Uh. Mr. The Plague, sir? I think we have a hacker.
Так имплант и получил свое имя. Но если убрать романтику, это не весело. Потому что Plague – это не про атаку через дыру в безопасности. Это про то, как злоумышленники незаметно меняют кирпич в фундаменте вашего дома на свой. Система, основанная на доверии к «легитимным» компонентам, трещит. Больше нельзя верить файлу просто потому, что он лежит в нужной папке.
Вокруг данного бэкдора пока много неизвестных. Но мне интересно посмотреть на него не с точки зрения проблем его обнаружения, а с позиции ограничения ущерба от подобных неизвестных видов атак.
Известно, что Plague, заразив/загрузив PAM-модуль, прятал историю команд, чтобы скрыть SSH-сессию. Напомню, что PAM — это библиотека, выполняемая с привилегиями того приложения, которое ее вызывает. А теперь подумаем: действительно ли многим приложениям стоит предоставлять права на изменение настроек истории команд? Кстати сказать, в данном случае история команд перенаправлялась в /dev/null через редактирование переменных окружения, но почему вообще сохранение истории задается через них?
Мне видится причина в низкой гранулярности привилегий в традиционных ОС. В KasperskyOS и других микроядерных системах большое внимание уделяется тонкой, высокогранулярной настройке прав доступа (по принципу Least Privilege). Именно это позволяет минимизировать последствия, даже в случае проникновения зловреда.
Подпишитесь на наши сообщества и получите ссылку на дистрибутив в чате
