🔥 Fique por dentro das novidades mais quentes do momento! 🔥
Sua opinião é importante: leia e participe!
Apoie o projeto e divulgue suas redes! Clique aqui
Os pesquisadores de segurança cibernética sinalizaram uma praga previamente indocumentada do Linux Backdoor, que conseguiu fugir da detecção por um ano.
"O implante é construído como um PAM malicioso (módulo de autenticação fruta), permitindo que os invasores ignorem silenciosamente a autenticação do sistema e obtenham acesso persistente ao SSH", disse o pesquisador de sistemas da Nextron Pierre-Henri Pezier.
Os módulos de autenticação refere-se a um conjunto de bibliotecas compartilhadas usadas para gerenciar a autenticação do usuário em aplicativos e serviços em sistemas baseados em Linux e UNIX.
Dado que os módulos de PAM são carregados em processos de autenticação privilegiados, um PAM desonesto pode permitir roubo de credenciais do usuário, desvios de verificações de autenticação e permanecer não detectados pelas ferramentas de segurança.
A empresa de segurança cibernética disse que descobriu vários artefatos de peste enviados para Virustototal desde 29 de julho de 2024, com nenhum deles detectado por mecanismos de antimalware como maliciosos. Além disso, a presença de várias amostras sinaliza o desenvolvimento ativo dos malware pelos atores de ameaças desconhecidos por trás dele.
A peste possui quatro características proeminentes: credenciais estáticas para permitir acesso secreto, resistir à análise e engenharia reversa usando anti-desbotamento e ofuscação de cordas; e aprimorou furtividade, apagando evidências de uma sessão SSH.
Isso, por sua vez, é realizado por variáveis de ambiente desnecessárias, como ssh_connection e ssh_client usando unsEtenv e redirecionando o Histfile para /dev /null para impedir o registro de comando do shell, para que, de outra forma, evite deixar uma trilha de auditoria.
"A peste se integra profundamente à pilha de autenticação, sobrevive a atualizações do sistema e deixa quase não traços forenses", observou Pezier. "Combinado com ofuscação em camadas e adulteração do ambiente, isso torna excepcionalmente difícil de detectar o uso de ferramentas tradicionais".
"O implante é construído como um PAM malicioso (módulo de autenticação fruta), permitindo que os invasores ignorem silenciosamente a autenticação do sistema e obtenham acesso persistente ao SSH", disse o pesquisador de sistemas da Nextron Pierre-Henri Pezier.
Os módulos de autenticação refere-se a um conjunto de bibliotecas compartilhadas usadas para gerenciar a autenticação do usuário em aplicativos e serviços em sistemas baseados em Linux e UNIX.
Dado que os módulos de PAM são carregados em processos de autenticação privilegiados, um PAM desonesto pode permitir roubo de credenciais do usuário, desvios de verificações de autenticação e permanecer não detectados pelas ferramentas de segurança.
A empresa de segurança cibernética disse que descobriu vários artefatos de peste enviados para Virustototal desde 29 de julho de 2024, com nenhum deles detectado por mecanismos de antimalware como maliciosos. Além disso, a presença de várias amostras sinaliza o desenvolvimento ativo dos malware pelos atores de ameaças desconhecidos por trás dele.
A peste possui quatro características proeminentes: credenciais estáticas para permitir acesso secreto, resistir à análise e engenharia reversa usando anti-desbotamento e ofuscação de cordas; e aprimorou furtividade, apagando evidências de uma sessão SSH.
Isso, por sua vez, é realizado por variáveis de ambiente desnecessárias, como ssh_connection e ssh_client usando unsEtenv e redirecionando o Histfile para /dev /null para impedir o registro de comando do shell, para que, de outra forma, evite deixar uma trilha de auditoria.
"A peste se integra profundamente à pilha de autenticação, sobrevive a atualizações do sistema e deixa quase não traços forenses", observou Pezier. "Combinado com ofuscação em camadas e adulteração do ambiente, isso torna excepcionalmente difícil de detectar o uso de ferramentas tradicionais".
Fonte: https://thehackernews.com
#samirnews #samir #news #boletimtec #novo #pam #backdoor #peste #expõe #sistemas #críticos #de #linux #a #roubo #de #credencial #silencioso
🎉 Obrigado por acompanhar, até a próxima notícia!
Postar um comentário