安全公司Nextron Research发现了一种名为“瘟疫”（Plague）的Linux PAM后门，该后门能够绕过系统认证，窃取敏感数据，并持久化SSH访问。Plague伪装成常见系统库，采用多种混淆和反调试技术，且能在系统更新后依然存在且不留痕迹，使其极难被传统安全工具检测。研究发现，该后门已存在一年多，并持续演进，显示出未知攻击集团的活跃和能力。

🦠 Linux系统新发现的PAM后门“瘟疫”（Plague）是一种恶意的PAM模块，它能够绕过系统的身份认证机制，允许攻击者在用户不知情的情况下访问敏感信息，并获得SSH的持久访问权限。其伪装能力极强，在VirusTotal上不会被任何杀毒软件识别为恶意软件。

🛡️ Plague后门采用了包括XOR、KSA/PRGA、DRBG等多种混淆技术，并具备反调试和隐藏会话的功能。这些复杂的安全防护措施，加上其能够在系统更新后依然保持活动状态且不生成任何日志的特性，使得它极难被传统的安全检测方法发现。

📈 研究人员通过定制的解密工具发现，Plague后门自出现以来，在过去的一年多时间里，已经在不同环境中编译了多个样本。这表明背后存在一个持续发展和不断适应的未知网络攻击集团，其攻击活动具有相当的持久性和演进性。

🔍 Plague后门能够深度集成到系统的认证堆栈中，并且即使在系统更新后也能够持续存在，几乎不留下任何可追溯的痕迹。这种多层次的混淆技术和环境影响的结合，使得它对传统的安全扫描和检测工具构成了严峻的挑战。

IT之家 8 月 5 日消息，安全公司 Nextron Research 于 8 月 1 日发布博文，报告称使用 YARA 规则，在 Linux 系统中意外发现了一种此前未被记录的 PAM 基础后门，随后将其命名为“瘟疫”（Plague）。

IT之家注：PAM 的全称为 Pluggable Authentication Module，是一种支持程序通过配置模块认证用户的编程接口，广泛应用于多种操作系统。

Plague 作为一种恶意的 PAM 模块，可以在不被用户察觉的情况下，让攻击者绕过系统认证，窃取敏感隐私数据，并掌控 SSH 的持久访问权。这种后门伪装成常见的系统库，在 VirusTotal 上不会被任何一款防病毒程序识别为恶意软件。

Plague 采用了多种混淆技术（如 XOR、KSA / PRGA、DRBG）、反调试方法和隐藏会话的手段，且在系统更新后仍然存在，不会留下任何日志。

研究人员使用 Unicorn + IDA 创建了一个定制的解密工具，发现这种 PAM 后门自成立以来，在一年多的时间里，在不同环境中编译出了多个样本，显示出未知网络攻击集团的持续发展和适应。

Plague 能够深度集成到认证堆栈中，即使系统更新也不会被消除，几乎不留下任何证据，结合多层次的混淆和环境影响，这种后门非常难以被传统工具发现。