新发现的 Linux 恶意软件在完成逃避检测后，开始允许攻击者获得持久的 SSH 访问权限，并绕过受感染系统的身份验证。

Nextron Systems 的安全研究人员发现了该恶意软件，并将其命名为 "Plague"。他们将其描述为一种恶意的可插拔认证模块（PAM），使用分层混淆技术和环境篡改来逃避传统安全工具的检测。

该恶意软件具有反调试功能，以阻止分析和逆向工程尝试，字符串混淆以使检测更加困难，硬编码密码以实现秘密访问，以及隐藏会话痕迹的能力，这些会话工件通常会暴露攻击者在受感染设备上的活动。

一旦加载，它还将清除运行时环境中任何恶意活动的痕迹，方法是取消与 SSH 相关的环境变量，并将命令历史重定向到 /dev/null 以防止日志记录，消除审计跟踪和登录元数据，并从系统历史日志和交互式会话中清除攻击者的数字足迹。

Plague 深入集成到身份验证堆栈中，在系统更新中幸存下来，几乎不会留下任何痕迹。结合分层混淆和环境篡改，这使得使用传统工具检测异常困难。

恶意软件会主动清除运行时环境，以消除 SSH 会话的证据。使用 unsetenv 取消 SSH_CONNECTION 和 SSH_CLIENT 等环境变量的设置，而 HISTFILE 被重定向到 /dev/null 以防止 shell 命令记录。

在分析恶意软件时，研究人员还发现了编译工件，表明在很长一段时间内进行了积极的开发，使用不同 Linux 发行版的各种 GCC 版本编译了示例。

此外，尽管在过去的一年中有多个后门变种被上传到 VirusTotal，但没有一个反病毒引擎将其标记为恶意软件，这表明恶意软件的创建者一直在未被发现的情况下运行。

Pezier 补充说："Plague 后门对 Linux 基础设施构成了复杂而不断发展的威胁，它利用核心身份验证机制来保持隐身性和持久性。" 由于它使用高级混淆、静态凭证和环境篡改，使得使用传统方法检测特别困难。

今年 5 月，Nextron Systems 发现了另一种恶意软件，它利用了 PAM ( Pluggable Authentication Modules ) Linux 身份验证基础设施的灵活性，使其创建者能够窃取凭证，绕过身份验证，并在受损设备上获得隐秘的持久性。