Mã độc mới âm thầm duy trì kết nối SSH
Vũ Nhật Lâm
Tổng quan
Trong quá trình triển khai chiến dịch threat hunting, nhóm nghiên cứu đã phát hiện một backdoor Linux tinh vi chưa từng được công bố rộng rãi, đặt tên Plague. Mã độc này được triển khai dưới dạng PAM (Pluggable Authentication Module), cho phép kẻ tấn công:
Bỏ qua cơ chế xác thực hệ thống.
Duy trì quyền truy cập SSH lâu dài.
Hoạt động hoàn toàn ẩn mình trước các công cụ giám sát truyền thống.
Đặc biệt, mặc dù đã tồn tại hơn một năm và có nhiều mẫu được tải lên VirusTotal, không một engine antivirus nào đánh dấu Plague là mã độc. Điều này cho thấy nó đã vượt qua các lớp phát hiện phổ biến và có thể đã tồn tại âm thầm trong nhiều môi trường sản xuất.
Đặc điểm nổi bật
Tích hợp sâu vào PAM: Hoạt động ngay trong quá trình xác thực, giúp truy cập hệ thống mà không cần qua cơ chế đăng nhập hợp lệ.
Tồn tại sau cập nhật: Không bị loại bỏ khi hệ thống nâng cấp.
Hạn chế dấu vết pháp y: Xóa hoặc thay đổi các log liên quan, giảm khả năng phân tích sau tấn công.
Obfuscation nhiều lớp: Mã nguồn được che giấu, các chuỗi quan trọng được mã hóa.
Can thiệp môi trường: Sửa đổi hành vi của các công cụ kiểm tra hệ thống để tự ẩn.
Quá trình phát triển
Nhiều mẫu được biên dịch trong các khoảng thời gian và môi trường khác nhau, thể hiện quá trình phát triển liên tục.
Một số mẫu vẫn còn metadata về trình biên dịch, chứng tỏ chưa bị tối ưu ẩn dấu hoàn toàn.
Mẫu “hijack” được cho là một trong những phiên bản sớm nhất.
Mã độc chứa một thông điệp ẩn tham chiếu tới phim Hackers:
cssSao chépChỉnh sửa"Uh. Mr. The Plague, sir? I think we have a hacker."Thông điệp này chỉ hiển thị sau khi
pam_authenticateđược gọi.
Cấu trúc và Cơ chế hoạt động
Sơ đồ hoạt động:
[Người tấn công]
↓ SSH login (với mật khẩu tĩnh bí mật)
[Plague PAM Module]
→ Bỏ qua xác thực hợp lệ
→ Ghi nhận session (nhưng xóa log ngay sau đó)
→ Cấp quyền shell / truy cập hệ thống
→ Giữ backdoor tồn tại sau reboot & update
Các kỹ thuật tấn công chính
| Kỹ thuật | Mục tiêu | Mô tả |
| Anti-debug | Phân tích viên | Chặn debug & reverse engineering. |
| String obfuscation | Công cụ AV | Ẩn chuỗi nhạy cảm & địa chỉ offset. |
| Static password | Xác thực | Cho phép đăng nhập bí mật qua SSH. |
| Hidden artifacts | Forensic | Xóa dấu vết phiên làm việc. |
Nguy cơ & Tác động
Kiểm soát toàn bộ hệ thống: Kẻ tấn công có quyền root mà không bị phát hiện.
Khó phát hiện & loại bỏ: Vì Plague gắn sâu vào PAM và tồn tại qua cập nhật.
Nguy cơ lan rộng: Nếu được triển khai trong môi trường doanh nghiệp, Plague có thể trở thành điểm pivot để mở rộng tấn công sang các hệ thống khác.
Khuyến nghị phòng chống
Kiểm tra tính toàn vẹn PAM:
- So sánh hash của các file PAM module với bản chuẩn từ nhà phân phối.
Triển khai giám sát hành vi:
- Sử dụng YARA rules để phát hiện mẫu mã độc chưa có signature.
Kiểm toán bảo mật định kỳ:
- Đặc biệt trên các hệ thống Linux Internet-facing.
Tách biệt quyền truy cập quản trị:
- Áp dụng nguyên tắc Least Privilege.
Giám sát nhật ký bất thường:
- Lưu ý các trường hợp SSH login không trùng khớp nhật ký xác thực.
IOC
| SH256 |
| 85c66835657e3ee6a478a2e0b1fd3d87119bebadc43a16814c30eb94c53766bb |
| 7c3ada3f63a32f4727c62067d13e40bcb9aa9cbec8fb7e99a319931fc5a9332e |
| 9445da674e59ef27624cd5c8ffa0bd6c837de0d90dd2857cf28b16a08fd7dba6 |
| 5e6041374f5b1e6c05393ea28468a91c41c38dc6b5a5230795a61c2b60ed14bc |
| 6d2d30d5295ad99018146c8e67ea12f4aaa2ca1a170ad287a579876bf03c2950 |
| e594bca43ade76bbaab2592e9eabeb8dca8a72ed27afd5e26d857659ec173261 |
| 14b0c90a2eff6b94b9c5160875fcf29aff15dcfdfd3402d953441d9b0dca8b39 |
Tham khảo
https://www.nextron-systems.com/2025/08/01/plague-a-newly-discovered-pam-based-backdoor-for-linux/
Subscribe to my newsletter
Read articles from Vũ Nhật Lâm directly inside your inbox. Subscribe to the newsletter, and don't miss out.
Written by