Plague Backdoor
サイバーセキュリティ専門家によって、これまで知られておらず、高度な回避能力を持つLinuxマルウェア「Plague」が発見されました。約1年間検知されずに動作していたにもかかわらず、この悪意のあるバックドアは高度な持続性とステルス性を示しており、攻撃者が密かにシステムに侵入し、不正アクセスを維持することを可能にしています。
目次
隠された隠れた視界:PAM を武器にしてステルスアクセスを実現
Plagueは、LinuxおよびUNIXシステムでアプリケーションやサービスの認証処理に使用されるコアコンポーネントであるPluggable Authentication Module(PAM)を装います。この認証インフラストラクチャに自身を埋め込むことで、Plagueは以下のことが可能になります。
- システム認証メカニズムをサイレントにバイパスする
- ユーザーの資格情報を取得する
- 検知されずに永続的なSSHアクセスを確立する
PAM モジュールは特権プロセスにロードされるため、Plague のような不正な実装は昇格された権限で動作することができ、多くの場合、従来の検出および監視ツールを回避します。
目に見えない進化:セキュリティエンジンでは検出されない
研究者らは複数の異なるPlagueサンプルを特定しましたが、いずれもアンチマルウェアスキャナによって悪意のあるものとして検出されませんでした。複数の固有のアーティファクトの発見は、攻撃者が継続的に開発と改良を続けていることを示しており、Plagueが長期的な攻撃戦略の一部であることを示唆しています。
ペストの武器庫:秘密アクセスと対フォレンジック
Plague には、検知されずに動作し、回避する能力に貢献する一連の高度な機能が備わっています。
- 秘密の繰り返しアクセスを可能にする静的認証情報
- リバースエンジニアリングを阻止するためのアンチデバッグ機構と文字列難読化
痕跡を隠すための環境改ざんには以下が含まれます:
- SSH関連の環境変数の設定解除(SSH_CONNECTION、SSH_CLIENT)
- 実行されたコマンドのログを削除するために、シェル履歴(HISTFILE)を/dev/nullにリダイレクトする
これらの戦術は、侵害されたシステム上に攻撃者が存在するという法医学的証拠をすべて削除することを目的として特別に設計されています。
サイレント・サバイバー:その核心にある執拗さと難読化
Plagueは認証スタックに統合されているため、システムアップデートを回避し、目に見えない形で動作するため、非常に耐性の高い脅威となっています。階層化された難読化技術とシステム環境変数の操作によって、その可視性は大幅に低下し、従来の検出メカニズムにとって大きな脅威となっています。
結論:警戒を要する危険な脅威
Plagueの発見は、Linuxを標的とするマルウェアの高度化を浮き彫りにしました。Plagueは重要なシステムコンポーネントに埋め込まれ、巧妙なアンチフォレンジック手法を用いることで、Linuxインフラを利用する組織に重大なリスクをもたらします。このような脅威に対抗するには、プロアクティブな監視、PAMモジュールの定期的な監査、そして挙動に基づく異常検知が不可欠です。
