Un module PAM malveillant, non détecté par Virustotal, s’est intégré dans le processus de connexion, accordant un accès secret et résistant aux mises à niveau.
Les chercheurs en sécurité ont découvert une porte dérobée Linux inhabituellement évasive, non détectée même par les systèmes Virustotal, compromis en tant que module d’authentification en support malveillant (PAM). Surnommée «Plague» par les chercheurs de Nextron, la porte dérobée furtive permet aux attaquants de glisser l’authentification passée inaperçue et à établir un accès persistant en coquille sécurisée (SSH).
« La peste s’intègre profondément dans la pile d’authentification, survit aux mises à jour du système et ne laisse presque aucune trace médico-légale », ont déclaré les chercheurs dans un article de blog. « Combiné avec une obscurcissement en couches et une falsification de l’environnement, cela rend exceptionnellement difficile à détecter à l’aide d’outils traditionnels. »
En se déguisant en PAM, le cadre d’authentification de confiance de Linux, l’implant permet aux attaquants un accès secret. Actif depuis le 29 juillet 2024, il a évolué avec de nouvelles variantes apparaissant aussi récemment que mars 2025, ont ajouté des chercheurs.
Les charges utiles observées par les traces de compilation d’alésage de Nextron pour Debian, Ubuntu et d’autres distributeurs, suggérant un ciblage plus large dans les environnements Linux.
Intégrer dans la pile d’authentification
L’architecture de Plague lui permet de s’intégrer profondément dans la pile d’authentification du système, fonctionnant via un fichier de bibliothèque partagé d’apparence bénigne (libsselinus.so.8) tout en détournant les fonctions PAM comme «pam_sm_authenticate ()», le mécanisme même qui vérifie les rédactions utilisateur sur la connexion.
L’injection fait de la peste une partie du processus de connexion, accordant aux attaquants une porte dérobée cachée via un mot de passe codé en dur sans authentification par les utilisateurs, ont ajouté des chercheurs. Parce qu’il fonctionne au niveau d’authentification, aucun chargeur de logiciel malveillant ou mécanisme de persistance séparé n’est nécessaire. La porte dérobée est déclenchée chaque fois que la pile PAM est invoquée, comme via SSH ou Sudo.
La conception du détournement du comportement du système légitime rend également la peste résistante aux mises à niveau et difficiles à détecter avec des outils de sécurité traditionnels, y compris les moteurs antivirus sur Virustotal.
« Bien que plusieurs variantes de cette porte dérobée aient été mises à jour vers Virustotal au cours de la dernière année, aucun moteur antivirus ne les signale comme malveillants », ont déclaré les chercheurs. «À notre connaissance, il n’y a pas de rapports publics ou de règles de détection disponibles pour cette menace, ce qui suggère qu’elle a discrètement éludé la détection dans plusieurs environnements.»
Selon des captures d’écran partagées dans le blog, des dizaines de variantes téléchargées sur Virustotal au cours de la dernière année ont enregistré 0/66 détection.
De l’obscurcissement à l’évasion de l’audit
La furtivité de Plague commence au temps de compilation. Les premières versions ont utilisé un codage de chaînes basé sur XOR simple, mais des variantes ultérieures déployées de cryptage multicouches, y compris des routines KSA / PRGA personnalisées et des étapes basées sur DRBG, pour obscurcir les charges utiles et les chaînes décryptées.
L’utilisation de routines cryptographiques avancées, y compris des algorithmes comme l’algorithme de planification des clés (KSA), l’algorithme de génération de pseudo-aléat (PRGA) et la génération de bit aléatoire déterministe (DRBG), garantit une protection en couches pour l’évasion à la fois des outils d’analyse de balayage de signature statique et basés sur le bac à sable.
Malgré son long temps d’exécution, l’attribution de la peste reste inconnue. Les auteurs du malware, cependant, ont baissé certains indices après les routines de désobfuscation. Un exemple nommé «Hijack» a fait référence au film «Hackers» dans un message imprimé après «Pam-Authenticiate». « Euh. M. La peste, monsieur? Je pense que nous avons un pirate », a déclaré le message.
Nextron recommande d’adopter des stratégies médico-légales comportementales, basées sur la mémoire et axées sur PAM. De plus, il est conseillé aux équipes de sécurité d’auditer activement les configurations PAM, de surveiller les fichiers .so nouvellement supprimés dans / lib / security /, et de suivre la falsification au niveau de l’environnement ou les comportements de nettoyage suspects.
