Plague: nuova backdoor PAM per Linux elude gli antivirus

di Redazione
0 commenti 5 minuti di lettura

Plague, un nuovo malware Linux sotto forma di backdoor PAM, è stato scoperto dal team di Nextron Systems durante attività di threat hunting proattivo. Nonostante sia stato caricato su VirusTotal in più varianti nel corso di un anno, nessun motore antivirus lo rileva come malevolo. L’assenza di regole di detection pubbliche e di report precedenti conferma la sua capacità di rimanere invisibile nei sistemi compromessi, evidenziando l’urgenza di approcci avanzati come la caccia YARA-based e l’analisi comportamentale. Plague sfrutta il modulo PAM (Pluggable Authentication Module) per ottenere accesso persistente via SSH senza lasciare tracce forensi. L’impianto malevolo si mimetizza nei file di sistema come libselinux.so.8, sopravvive agli aggiornamenti e impiega obfuscation a più livelli per eludere rilevamento e analisi statica. Il backdoor, ancora senza attribuzione chiara, è in sviluppo da tempo e mostra capacità antidebug, password statiche hardcoded, cancellazione dei log SSH e uso di string obfuscation avanzata. Le stringhe sono nascoste con meccanismi che evolvono da XOR a routine simili a KSA/PRGA fino a un terzo livello DRBG. La frase nascosta “Uh. Mr. The Plague, sir? I think we have a hacker.” rivela anche un riferimento al film Hackers, individuabile solo dopo deobfuscazione. I campioni osservati, provenienti da USA e Cina, evidenziano un impianto attivo e in costante manutenzione. Nextron ha pubblicato anche una regola YARA specifica per Plague e un tool IDA/Unicorn per la decodifica delle stringhe offuscate.

Persistenza tramite PAM e accesso SSH silente

Il malware Plague si presenta come un modulo PAM malevolo che permette agli attori di minaccia di aggirare l’autenticazione utente. Grazie alla profonda integrazione nel sistema di autenticazione, ogni accesso viene registrato come legittimo, rendendo difficile individuare intrusioni non autorizzate. A differenza dei malware tradizionali che operano in user-space, Plague agisce nel cuore del processo di login.

image 44
Plague: nuova backdoor PAM per Linux elude gli antivirus 7

La sua capacità di sopravvivere agli aggiornamenti di sistema e di mantenere l’accesso tramite credenziali statiche indica un grado di persistenza elevato, rendendolo particolarmente pericoloso per ambienti server o infrastrutture critiche.

Invisibilità assoluta: 0 su 66 engine antivirus

I ricercatori hanno evidenziato come nessuna delle varianti caricate su VirusTotal sia stata segnalata come pericolosa, nonostante l’uso del nome libselinux.so.8, un file critico di sistema. Questa capacità di camuffarsi in file di sistema autentici, unita all’assenza di indicatori comportamentali rilevabili, fa sì che Plague resti attivo senza generare allarmi.

Esempi di hash SHA-256 rilevati nel tempo includono:
85c66835657e3ee6a478a2e0b1fd3d87119bebadc43a16814c30eb94c53766bb
7c3ada3f63a32f4727c62067d13e40bcb9aa9cbec8fb7e99a319931fc5a9332e
9445da674e59ef27624cd5c8ffa0bd6c837de0d90dd2857cf28b16a08fd7dba6

Le dimensioni variano tra i 36 KB e i 109 KB, compilati su diverse distribuzioni Linux (Debian, Ubuntu, Red Hat) con GCC differenti, indicando una campagna di sviluppo distribuita nel tempo.

Obfuscation multilivello: XOR, KSA, DRBG

Uno degli aspetti più complessi del backdoor Plague è il sistema di offuscamento delle stringhe. Le prime versioni utilizzavano semplici XOR, poi si è passati a routine KSA/PRGA simili all’algoritmo RC4, e infine si è aggiunto un livello DRBG (Deterministic Random Bit Generator). Questo rende difficile l’analisi statica tramite strumenti automatici. Per superare il problema, i ricercatori di Nextron hanno realizzato un tool di deobfuscazione personalizzato basato su Unicorn Engine, integrato con IDA Pro, che emula le routine di decodifica e annota automaticamente le stringhe deoffuscate nel disassemblato.

Meccanismi di evasione e antidebug

Plague implementa tecniche antidebug per evitare l’analisi. Verifica il nome del binario (libselinux.so.8) e l’assenza della variabile di ambiente ld.so.preload, spesso usata nei sandbox per il preload di librerie. Inoltre, modifica il contesto ambientale della sessione SSH per eliminare ogni traccia del login: cancella SSH_CONNECTION, SSH_CLIENT e imposta HISTFILE su /dev/null, impedendo la scrittura nella cronologia comandi.

Accesso statico e hardcoded password

Una delle caratteristiche più gravi di Plague è la presenza di password statiche integrate nel binario per consentire accesso remoto agli attaccanti. Le password trovate nei campioni analizzati includono:
Mvi4Odm6tld7, IpV57KNK32Ih, changeme. La variabile interna bkr=1 agisce come flag per identificare ambienti sicuri (non monitorati), adattando il comportamento del malware a seconda del contesto.

Regola YARA per Plague e indicatori

Il team Nextron ha pubblicato una regola YARA per identificare i binari ELF infetti da Plague. La regola si basa sulla presenza delle stringhe "decrypt_phrase" e "init_phrases" e sulla dimensione inferiore a 1MB dei file ELF, con hash noti già registrati. Questa detection permette di scansionare file sospetti anche in assenza di IOCs comportamentali, offrendo uno strumento utile per la caccia proattiva su sistemi Linux.

Script di deobfuscazione: analisi dinamica su IDA

Il codice Python pubblicato in appendice utilizza Unicorn e IDA Pro 9 per emulare la funzione init_phrases e decriptare dinamicamente le stringhe offuscate, senza bisogno di esecuzione reale del campione. Lo script identifica i riferimenti a decrypt_phrase, estrae gli argomenti immessi nel registro edi e restituisce l’output come commento nel disassemblato IDA. La soluzione proposta dimostra come l’uso di emulazione sicura sia una strategia efficace per bypassare i limiti dell’analisi statica classica, specialmente in presenza di algoritmi di cifratura evolutivi.

Minaccia avanzata con attacco a livello core

Il caso di Plague rappresenta una minaccia avanzata e persistente che sfrutta un punto debole poco monitorato: il sistema PAM. Con la sua capacità di nascondersi in piena vista, impiantarsi nei processi critici, mutare la propria struttura e restare indetectable da antivirus, Plague alza l’asticella delle minacce post-exploit in ambienti Linux. Il messaggio chiave è che anche infrastrutture ritenute “sicure” sono vulnerabili se non vengono adottate strategie proattive di detection e threat hunting, specialmente nei sistemi basati su Linux.

Articoli correlati

MatriceDigitale.it – Copyright © 2024, Livio Varriale – Registrazione Tribunale di Napoli n° 60 del 18/11/2021. – P.IVA IT10498911212 Privacy Policy e Cookies