Selon PolySwarm, des chercheurs ont analysé ‘Plague’, un backdoor Linux sophistiqué qui s’intègre au flux d’authentification en se faisant passer pour un module PAM légitime, afin de fournir un accès SSH persistant et un contournement de l’authentification. L’échantillon se présente comme libselinux.so.8 et persiste discrètement avec très peu de traces forensiques tout en survivant aux mises à jour système.
Le malware exploite des mots de passe statiques pour une entrée clandestine (ex. ‘Mvi4Odm6tld7’ et ‘changeme’), et met en place des capacités de furtivité comme la désactivation de variables SSH et la redirection de l’historique shell (HISTFILE) vers /dev/null. 🐧🔐
Côté évasion et durabilité, Plague embarque des mécanismes anti-debug qui vérifient des noms de fichiers et des variables d’environnement. Son obfuscation a évolué au fil des versions, passant de schémas XOR à des approches KSA/PRGA et DRBG, compliquant l’analyse et la détection.
Sept échantillons analysés montrent des compilations avec diverses versions de GCC, tout en restant non détectés par les moteurs antivirus au moment de l’étude.
IOCs observés:
- Nom/fichier usurpé: libselinux.so.8
- Mots de passe statiques: ‘Mvi4Odm6tld7’, ‘changeme’
- Redirection de l’historique: HISTFILE -> /dev/null
TTPs clés:
- Déguisement en module PAM (persistence et interception d’authentification)
- Accès SSH persistant et contournement d’authentification via mots de passe codés en dur
- Anti-debug: vérification de noms de fichiers et variables d’environnement
- Obfuscation progressive: XOR -> KSA/PRGA -> DRBG
- Furtivité: désactivation de variables SSH, traces minimales, persistance à travers les mises à jour
Type d’article: publication de recherche visant à documenter une backdoor Linux, ses mécanismes d’attaque et ses IOCs/TTPs.
🔗 Source originale : https://blog.polyswarm.io/plague-linux-backdoor
🖴 Archive : https://web.archive.org/web/20250817165020/https://blog.polyswarm.io/plague-linux-backdoor