Sebuah malware Linux canggih yang baru-baru ini diungkap oleh Nextron Systems berhasil menghindari deteksi selama lebih dari satu tahun, memberi pelaku ancaman akses SSH permanen dan melewati proses autentikasi pada sistem yang terinfeksi.
Dijuluki Plague oleh keamanan Nextron Systems, malware ini beroperasi sebagai modul otentikasi Pluggable Authentication Module (PAM) yang berbahaya. Ia memanfaatkan obfuscation berlapis, manipulasi lingkungan, serta teknik anti-debugging untuk menggagalkan upaya analisis dan rekayasa balik, obfuscation string untuk mempersulit pendeteksian, kata sandi hardcode untuk akses rahasia, serta kemampuan untuk menyembunyikan artefak sesi yang biasanya mengungkapkan aktivitas penyerang pada perangkat yang terinfeksi.
Setelah dimuat, Plague secara sistematis membersihkan jejak kehadirannya dari lingkungan sistem. Ia menghapus variabel lingkungan SSH seperti SSH_CONNECTION dan SSH_CLIENT, mengalihkan file riwayat perintah shell (HISTFILE) ke /dev/null, serta menghapus jejak login dan audit dari sistem.
"Plague terintegrasi secara mendalam ke dalam tumpukan autentikasi, bertahan dari pembaruan sistem, dan hampir tidak meninggalkan jejak forensik. Dikombinasikan dengan obfuscation berlapis dan manipulasi lingkungan, hal ini membuatnya sangat sulit dideteksi menggunakan tool tradisional," ujar peneliti ancaman Pierre-Henri Pezier.
"Malware secara aktif membersihkan lingkungan runtime untuk menghilangkan bukti sesi SSH. Variabel lingkungan seperti SSH_CONNECTION dan SSH_CLIENT tidak diatur menggunakan unsetenv, sementara HISTFILE dialihkan ke /dev/null untuk mencegah pencatatan perintah shell."
Selama analisis, tim peneliti menemukan bahwa malware ini sedang dikembangkan secara aktif. Hal ini dibuktikan dengan artefak kompilasi yang dibuat menggunakan berbagai versi GCC di sejumlah distribusi Linux. Meskipun beberapa varian Plague telah diunggah ke VirusTotal dalam 12 bulan terakhir, tidak satu pun yang dikenali sebagai berbahaya oleh mesin antivirus.
Selain itu, meskipun beberapa varian backdoor telah diunggah ke VirusTotal selama setahun terakhir, tidak ada mesin antivirus yang menandainya sebagai berbahaya, sehingga menunjukkan bahwa pembuat malware tersebut beroperasi tanpa terdeteksi.
“Backdoor Plague mewakili ancaman yang canggih dan terus berkembang terhadap infrastruktur Linux, mengeksploitasi mekanisme otentikasi inti untuk menjaga kerahasiaan dan persistensi,” tambah Pezier. "Penggunaan obfuscation tingkat lanjut, kredensial statis, dan manipulasi lingkungan membuatnya sangat sulit dideteksi menggunakan metode konvensional."
Penemuan ini mengikuti laporan sebelumnya dari Nextron Systems pada Mei lalu, dimana ditemukan malware lain yang juga memanfaatkan fleksibilitas infrastruktur autentikasi Linux PAM (Pluggable Authentication Modules) untuk mencuri kredensial, melewati autentikasi, dan memperoleh persistensi tersembunyi di perangkat Linux.
0 Comments
