Linux系统惊现隐蔽PAM后门‘瘟疫’，长期潜伏难 detect

安全公司 Nextron Research 在 8 月 1 日发布的一篇技术报告中披露，研究人员在利用 YARA 规则对 Linux 系统进行检测时，意外发现了一种此前未被记录的基于 PAM 的后门程序，并将其命名为“瘟疫”（Plague）。

PAM 全称为 Pluggable Authentication Module，是一种可插拔的认证模块接口，广泛用于各类操作系统中，使应用程序能够通过配置不同的模块实现用户身份验证。

Plague 是一个恶意的 PAM 模块，具备极强的隐蔽性。攻击者可以借此绕过系统身份验证机制，悄无声息地窃取用户敏感信息，并获得对系统的 SSH 持久访问权限。该后门模块伪装成常规系统库文件，目前在 VirusTotal 平台上未被任何杀毒软件识别为恶意程序。

该后门使用了包括 XOR、KSA / PRGA、DRBG 等多种混淆技术，还结合了反调试机制和隐藏会话的手段，使其在系统升级后依然保持存在，并且不会在日志中留下痕迹。研究人员通过 Unicorn 和 IDA 构建了一个专用解密工具，最终确认该后门在过去一年多时间里，已在不同环境下被多次编译生成，显示出背后攻击组织长期持续的开发与适应能力。

Plague 可深度嵌入系统的认证流程之中，即便操作系统升级也不会被清除，且几乎不留下任何痕迹。它结合了复杂的混淆技术与系统环境依赖，使得传统的安全检测手段难以发现其存在。