Các nhà nghiên cứu bảo mật đã phát hiện một loại Linux backdoor tinh vi có tên gọi “Plague”. Điều đáng chú ý là mã độc này đã không bị phát hiện bởi bất kỳ công cụ chống virus lớn nào, dù nhiều mẫu đã được tải lên VirusTotal trong hơn một năm qua.
Khám phá Linux Backdoor Plague và Phương thức Hoạt động
Phần mềm độc hại Plague hoạt động như một Mô-đun Xác thực Có thể Cắm (PAM module). Điều này cho phép kẻ tấn công âm thầm vượt qua xác thực hệ thống và duy trì quyền truy cập SSH liên tục vào các hệ thống Linux đã bị xâm nhập.
Plague backdoor đặt ra một mối lo ngại nghiêm trọng về an ninh. Khả năng né tránh hoàn toàn các phương pháp phát hiện truyền thống của nó là điểm đặc biệt. Mặc dù một số biến thể đã được tải lên VirusTotal xuyên suốt năm 2024 và đầu năm 2025, không một công cụ chống virus nào trong số 66 công cụ được kiểm tra gắn cờ bất kỳ mẫu nào là độc hại.
Phân tích bối cảnh mối đe dọa cho thấy sự phát triển và thích ứng tích cực từ phía kẻ tấn công. Các mẫu được biên dịch trong các khoảng thời gian và môi trường khác nhau, sử dụng nhiều phiên bản trình biên dịch GCC.
Mẫu sớm nhất được biết đến có từ tháng 7 năm 2024. Các lần gửi gần đây nhất diễn ra vào tháng 3 năm 2025. Các tạo phẩm biên dịch cho thấy việc sử dụng các bản phân phối Linux khác nhau, bao gồm Debian và Ubuntu. Điều này gợi ý sự triển khai rộng rãi của Linux backdoor này trên nhiều môi trường đa dạng.
Một mẫu đặc biệt thú vị có tên “hijack” có thể cung cấp manh mối về nguồn gốc của mã độc. Ngoài ra, các tham chiếu ẩn đến bộ phim “Hackers” năm 1995 xuất hiện trong mã đã giải mã, hiển thị thông báo: “Uh. Mr. The Plague, sir? I think we have a hacker.”
Đặc điểm Kỹ thuật Nâng cao và Khả năng Né tránh của Linux Backdoor Plague
Plague sử dụng các tính năng kỹ thuật tinh vi được thiết kế để né tránh phát hiện xâm nhập và phân tích. Backdoor này áp dụng các kỹ thuật che giấu chuỗi ngày càng phát triển.
Ban đầu, chúng chỉ là mã hóa dựa trên XOR đơn giản. Tuy nhiên, các biến thể sau này đã tiến triển thành các phương pháp phức tạp hơn, tương tự như thuật toán Lập lịch Khóa (KSA) và thuật toán Tạo số Giả ngẫu nhiên (PRGA).
Các biến thể mới nhất còn tích hợp thêm một lớp Tạo bit Ngẫu nhiên Xác định (DRBG) bổ sung. Điều này làm cho việc phân tích trở nên khó khăn hơn đáng kể.
Các khả năng kỹ thuật chính của Linux backdoor Plague bao gồm:
- Hoạt động như một PAM module, cho phép bỏ qua xác thực hệ thống.
- Mã hóa và giải mã các chuỗi nhạy cảm động trong quá trình chạy.
- Xóa dấu vết hoạt động của kẻ tấn công khỏi phiên tương tác và nhật ký lịch sử hệ thống.
- Duy trì tính dai dẳng trên hệ thống Linux đã xâm nhập.
Những tính năng này cho phép mã độc hoạt động không bị phát hiện. Đồng thời, nó loại bỏ một cách có hệ thống các bằng chứng về hoạt động của kẻ tấn công khỏi cả các phiên tương tác và nhật ký lịch sử hệ thống.
Nỗ lực Phân tích và Phát hiện
Các nhà nghiên cứu bảo mật đã phát triển các công cụ chuyên biệt để chống lại mối đe dọa Linux backdoor này. Một tiện ích giải mã chuỗi tùy chỉnh đã được tạo ra. Công cụ này sử dụng framework giả lập Unicorn trong IDA Pro.
Công cụ này mô phỏng an toàn các quy trình giải mã của mã độc mà không thực thi mã độc. Điều này cho phép các nhà phân tích trích xuất và chú thích các chuỗi được mã hóa, ngay cả khi các phương pháp che giấu thay đổi.
Chỉ số Nhận diện Tấn công (IOCs)
Một số mật khẩu được mã hóa cứng đã được xác định trên các mẫu khác nhau của Linux backdoor Plague. Những mật khẩu này cho phép truy cập trái phép mà không cần xác thực phù hợp.
Mvi4Odm6tld7IpV57KNK32Ihchangeme
Các nhà nghiên cứu cũng đã phát hành các quy tắc phát hiện YARA nhắm mục tiêu vào các tên hàm cụ thể như decrypt_phrase và init_phrases. Các tên hàm này xuất hiện nhất quán trên các biến thể khác nhau của Plague. Bạn có thể tìm thấy các quy tắc YARA này và thông tin chi tiết hơn tại blog của Nextron Systems.
Ví dụ quy tắc YARA được tham chiếu:
rule PlaguePAM_Decryption_Functions
{
meta:
author = "Nextron Systems"
description = "Detects Plague backdoor PAM module decryption functions"
date = "2025-08-01"
source = "https://www.nextron-systems.com/2025/08/01/plague-a-newly-discovered-pam-based-backdoor-for-linux/"
strings:
$s1 = "decrypt_phrase" wide ascii
$s2 = "init_phrases" wide ascii
$s3 = "k_schedule_algorithm" wide ascii
$s4 = "pr_generation_algorithm" wide ascii
$s5 = "deterministic_random_bit_generator" wide ascii
condition:
(uint16(0) == 0x5A4D) and (all of ($s*))
}
Tầm quan trọng và Các biện pháp Phòng ngừa
Việc phát hiện Plague làm nổi bật lỗ hổng nghiêm trọng của các thành phần hệ thống nền tảng như PAM module trước các cuộc tấn công tinh vi. Khả năng duy trì sự dai dẳng của Plague backdoor thông qua các bản cập nhật hệ thống, đồng thời để lại dấu vết pháp y tối thiểu, chứng tỏ bối cảnh mối đe dọa ngày càng phát triển mà cơ sở hạ tầng Linux phải đối mặt.
Trường hợp này nhấn mạnh tầm quan trọng của việc chủ động tìm kiếm mối đe dọa thông qua phân tích hành vi và các công cụ phát hiện xâm nhập chuyên biệt. Đây là những biện pháp cần thiết vượt ra ngoài các giải pháp chống virus truyền thống. Để bảo vệ các hệ thống quan trọng khỏi các Linux backdoor tiên tiến, việc áp dụng chiến lược an ninh mạng đa lớp là điều cốt yếu.
Phản ứng với các mối đe dọa như Plague backdoor đòi hỏi một cách tiếp cận toàn diện. Điều này bao gồm việc liên tục giám sát, cập nhật các biện pháp bảo mật và nâng cao nhận thức về các kỹ thuật tấn công mới.
