報導摘要

一款名為「Plague-PAM」的 Linux 後門程式已潛伏超過一年，且長期未被傳統防毒軟體偵測。該惡意程式偽裝成 Pluggable Authentication Module（PAM），這是一套用於 Linux 和 UNIX 系統管理使用者認證的共享函式庫。由於 PAM 模組在特權處理程序中載入，因此惡意的 PAM 程式能夠靜默地繞過系統認證、竊取使用者憑證，並獲得持久的 SSH 遠端存取權。資安研究人員在 VirusTotal 上發現了多個 Plague 程式樣本，但當時沒有任何防毒引擎將其標記為惡意。這顯示該後門程式仍在積極開發和進化中，其高度的隱蔽性使其成為一項難以防範的資安威脅。

資安風險

Plague-PAM 後門程式的獨特之處在於其深層的系統整合與隱匿性，這使其資安風險極高：

1. 無痕繞過認證：惡意 PAM 模組允許攻擊者使用靜態的硬編碼憑證來登入系統，完全繞過正常的認證流程，讓帳號密碼變得形同虛設。
2. 難以偵測與分析：Plague 採用了反除錯（anti-debugging）與字串混淆（string obfuscation）等技術，使資安人員難以分析其程式碼。這使得傳統的靜態分析工具難以發揮作用。
3. 消除鑑識軌跡：該後門程式會自動清除 SSH 連線的環境變數（如 SSH_CONNECTION）並將命令紀錄檔（HISTFILE）重導向至 /dev/null。這意味著即使入侵發生，系統上也很難留下任何可供鑑識的紀錄。
4. 持久性與高權限：Plague 能夠在系統更新後仍舊保持存在，並因其作為 PAM 模組被載入特權程序中，讓攻擊者能取得系統的高階權限，進行更深度的破壞。

安全影響

一旦 Plague-PAM 後門程式成功入侵，其對個人與企業的安全影響是巨大的：

1. 機密資料外洩：攻擊者可以透過取得的 SSH 遠端存取權，在受害者的伺服器上竊取任何敏感資料，包括客戶資料、智慧財產權或財務資訊。
2. 服務中斷與破壞：駭客可以利用高權限來部署其他惡意軟體，甚至破壞系統核心服務，導致企業營運中斷或癱瘓。
3. 無法追蹤的攻擊：由於後門程式會刻意消除所有鑑識軌跡，企業將無法準確追蹤攻擊者的入侵路徑和行為，使得應變與修復工作變得極其困難。
4. 信任危機：對於依賴 Linux 系統的企業而言，這種未知的後門程式會嚴重動搖對系統安全的信任，迫使企業重新評估其整個資安防禦體系。

行動建議

為有效防範 Plague-PAM 這類新型威脅，建議採取以下行動：

1. 強化系統監控：部署能夠監控 PAM 模組變更、系統特權程序行為和可疑 SSH 連線的進階資安監控工具。
2. 實施完整性檢查：定期對 PAM 模組和其他系統核心檔案進行完整性檢查，以偵測任何未經授權的修改。
3. 限制 SSH 存取：採用最小權限原則，並限制只有特定 IP 位址或身分認證過的金鑰才能存取 SSH 服務。
4. 持續更新與學習： 密切關注資安威脅情報，並透過資安社群學習最新的攻擊技術與防禦方法，確保資安團隊具備應對新威脅的能力。

結論

Plague-PAM 的出現，為 Linux 系統的資安防禦敲響了警鐘。它不僅揭示了傳統防毒軟體在偵測高階威脅上的盲點，也證明了駭客正不斷創新，尋找系統核心中的弱點。這類能夠繞過認證、隱匿行蹤並維持持久存取的後門程式，使得資安防禦不再只依賴周邊防禦。企業必須轉向更主動、更深層的防護策略，透過強化的系統監控、完整性檢查和內部控制，來對抗這類來自系統核心的潛在威脅。這場與駭客的攻防戰，已經進入了一個需要更精準、更全面防禦的新時代。

資料來源：https://thehackernews.com/2025/08/new-plague-pam-backdoor-exposes.html