摘要：安全公司 Nextron Research 于 8 月 1 日发布博文，报告称使用 YARA 规则，在 Linux 系统中意外发现了一种此前未被记录的 PAM 基础后门，随后将其命名为“瘟疫”（Plague）。

IT之家 8 月 5 日消息，安全公司 Nextron Research 于 8 月 1 日发布博文，报告称使用 YARA 规则，在 Linux 系统中意外发现了一种此前未被记录的 PAM 基础后门，随后将其命名为“瘟疫”（Plague）。

IT之家注：PAM 的全称为 Pluggable Authentication Module，是一种支持程序通过配置模块认证用户的编程接口，广泛应用于多种操作系统。

Plague 作为一种恶意的 PAM 模块，可以在不被用户察觉的情况下，让攻击者绕过系统认证，窃取敏感隐私数据，并掌控 SSH 的持久访问权。这种后门伪装成常见的系统库，在 VirusTotal 上不会被任何一款防病毒程序识别为恶意软件。

Plague 采用了多种混淆技术（如 XOR、KSA / PRGA、DRBG）、反调试方法和隐藏会话的手段，且在系统更新后仍然存在，不会留下任何日志。

研究人员使用 Unicorn + IDA 创建了一个定制的解密工具，发现这种 PAM 后门自成立以来，在一年多的时间里，在不同环境中编译出了多个样本，显示出未知网络攻击集团的持续发展和适应。

Plague 能够深度集成到认证堆栈中，即使系统更新也不会被消除，几乎不留下任何证据，结合多层次的混淆和环境影响，这种后门非常难以被传统工具发现。

来源：湖北台科技快报