Um novo malware para Linux, que conseguiu evitar detecção por mais de um ano, permite que atacantes obtenham acesso persistente via SSH e passem por alto a autenticação em sistemas comprometidos.
Pesquisadores de segurança da Nextron Systems, que identificaram o malware e o apelidaram de "Praga", descrevem-no como um módulo de autenticação malicioso (uma "Pluggable Authentication Module" – PAM) que utiliza técnicas de ofuscação em camadas e manipulação de ambiente para evitar a detecção por ferramentas de segurança tradicionais.
Esse malware possui capacidades anti-debugging para frustrar tentativas de análise e engenharia reversa, ofuscação de strings para tornar a detecção mais difícil, senhas codificadas para acesso oculto, além da capacidade de esconder artefatos de sessão que normalmente revelariam a atividade do atacante em dispositivos infectados.
Uma vez carregado, ele também remove do ambiente de execução quaisquer vestígios de atividade maliciosa, anulando variáveis de ambiente relacionadas ao SSH e redirecionando o histórico de comandos para /dev/null para impedir o registro, eliminando rastros de auditoria e metadados de login, e apagando a pegada digital do atacante dos logs de histórico do sistema e sessões interativas.
"Praga se integra profundamente na pilha de autenticação, sobrevive a atualizações do sistema, e deixa quase nenhum traço forense. Combinado com ofuscação em camadas e manipulação de ambiente, isso o torna excepcionalmente difícil de ser detectado usando ferramentas tradicionais," disse o pesquisador de ameaças Pierre-Henri Pezier.
"O malware ativamente higieniza o ambiente de execução para eliminar evidências de uma sessão SSH.
Variáveis de ambiente como SSH_CONNECTION e SSH_CLIENT são eliminadas usando o comando unsetenv, enquanto que HISTFILE é redirecionado para /dev/null para prevenir o registro de comandos do shell."
Ao analisar o malware, os pesquisadores também descobriram artefatos de compilação indicando um desenvolvimento ativo ao longo de um período extenso, com amostras compiladas usando diversas versões do GCC em diferentes distribuições Linux.
Adicionalmente, embora múltiplas variantes do backdoor tenham sido carregadas no VirusTotal ao longo do último ano, nenhum dos motores de antivírus os marcou como maliciosos, sugerindo que os criadores do malware têm operado sem ser detectados.
"O backdoor Praga representa uma ameaça sofisticada e evolutiva para a infraestrutura Linux, explorando mecanismos centrais de autenticação para manter furtividade e persistência," Pezier acrescentou.
Seu uso de ofuscação avançada, credenciais estáticas e manipulação de ambiente o torna particularmente difícil de detectar usando métodos convencionais.
Em maio, a Nextron Systems descobriu outro malware que explora a flexibilidade da infraestrutura de autenticação PAM (Pluggable Authentication Modules) do Linux, o qual permite que seus criadores roubem credenciais, passem por cima de autenticações e mantenham uma persistência furtiva em dispositivos comprometidos.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...