VirusTotalでも検知されなかった悪意あるPAMモジュールがログインプロセスに組み込まれ、密かにアクセス権を付与し、アップグレードにも耐性を持つ。
セキュリティ研究者は、VirusTotalですら検知できなかった異常に回避性の高いLinuxバックドアを発見しました。このバックドアは悪意あるプラガブル認証モジュール(PAM)としてシステムを侵害します。Nextronの研究者によって「Plague」と名付けられたこのステルス性バックドアは、攻撃者が認証をすり抜けて気付かれずに持続的なSSHアクセスを確立できるようにします。
「Plagueは認証スタックに深く統合され、システムのアップデートにも耐え、ほとんどフォレンジックの痕跡を残しません」と研究者はブログ投稿で述べています。「多層的な難読化や環境の改ざんと組み合わせることで、従来のツールでは検知が極めて困難になります。」
Linuxの信頼された認証フレームワークであるPAMを装い、このインプラントは攻撃者に密かなアクセスを許します。2024年7月29日以降活動しており、2025年3月にも新たな亜種が確認されるなど進化を続けていると研究者は付け加えています。
Nextronが観測したペイロードにはDebian、Ubuntu、その他のディストリビューション向けのコンパイル痕跡があり、Linux環境全体を広く標的としていることが示唆されます。
認証スタックへの統合
Plagueのアーキテクチャは、システムの認証スタックに深く統合されることを可能にしており、一見無害な共有ライブラリファイル(libselinus.so.8)を通じて、ログイン時にユーザー資格情報を検証する「pam_sm_authenticate()」などのPAM関数を乗っ取ります。
このインジェクションにより、Plagueはログインプロセスの一部となり、ユーザー認証なしでハードコードされたパスワードによる隠れたバックドアを攻撃者に提供します、と研究者は述べています。認証レベルで動作するため、別途マルウェアローダーや永続化メカニズムは不要です。PAMスタックが呼び出されるたび、たとえばSSHやsudoを通じて、バックドアが起動します。
正規のシステム動作を乗っ取る設計により、Plagueはアップグレードにも耐性があり、VirusTotalのアンチウイルスエンジンを含む従来のセキュリティツールでは検知が困難です。
「このバックドアのいくつかの亜種が過去1年間にVirusTotalにアップロードされましたが、1つも悪意あるものとしてフラグされていません」と研究者は述べています。「私たちの知る限り、この脅威に関する公開レポートや検知ルールは存在せず、複数の環境で静かに検知を回避してきたことが示唆されます。」
ブログで共有されたスクリーンショットによると、過去1年間にVirusTotalにアップロードされた数十の亜種が0/66の検知結果となっています。
難読化から監査回避まで
Plagueのステルス性はコンパイル時から始まります。初期バージョンでは単純なXORベースの文字列エンコーディングが使われていましたが、後期の亜種ではカスタムKSA/PRGAルーチンやDRBGベースのステージを含む多層暗号化が施され、復号されたペイロードや文字列が難読化されています。
Key Scheduling Algorithm(KSA)、Pseudo-Random Generation Algorithm(PRGA)、Deterministic Random Bit Generation(DRBG)などの高度な暗号ルーチンを用いることで、静的シグネチャスキャンやサンドボックス型解析ツールの両方を回避する多層的な防御が保証されます。
長期間活動しているにもかかわらず、Plagueの作者は特定されていません。ただし、難読化解除後にマルウェアの作者がいくつかの手がかりを残しています。「hijack」というサンプルは、「pam-authenticate」後に映画「ハッカーズ」への言及を含むメッセージを表示しました。「あの、Plagueさん?ハッカーがいるようです」といった内容です。
Nextronは、振る舞い分析、メモリベース、およびPAMに特化したフォレンジック戦略の採用を推奨しています。加えて、セキュリティチームにはPAM構成の積極的な監査、/lib/security/に新たに配置された.soファイルの監視、環境レベルの改ざんや不審なクリーンアップ動作の追跡が推奨されます。
ニュースレターを購読する
編集部からあなたの受信箱へ
下記にメールアドレスを入力して開始してください。