Siber güvenlik araştırmacıları, daha önce belgelenmemiş bir Linux arka kapı adını işaretledi. Veba Bu bir yıl boyunca tespitten kaçınmayı başardı.
Nextron Systems araştırmacısı Pierre-Henri Pezier, “İmplant, kötü niyetli bir PAM (takılabilir kimlik doğrulama modülü) olarak oluşturuldu, saldırganların sistem kimlik doğrulamasını sessizce atlamasını ve kalıcı SSH erişimi kazanmasını sağlıyor.” Dedi.
Takılabilir kimlik doğrulama modülleri, Linux ve Unix tabanlı sistemlerdeki uygulamalara ve hizmetlere kullanıcı kimlik doğrulamasını yönetmek için kullanılan bir dizi paylaşılan kütüphaneyi ifade eder.
PAM modüllerinin ayrıcalıklı kimlik doğrulama işlemlerine yüklendiği göz önüne alındığında, bir Rogue Pam, kullanıcı kimlik bilgilerinin hırsızlığını sağlayabilir, kimlik doğrulama kontrollerini atlayabilir ve güvenlik araçları tarafından fark edilmeyebilir.
Siber güvenlik şirketi, 29 Temmuz 2024’ten bu yana Virustotal’a yüklenen birden fazla veji artefaktı ortaya çıkardığını ve hiçbiri antimalware motorları tarafından kötü niyetli olarak tespit edilmediğini söyledi. Dahası, birkaç örneğin varlığı, kötü amaçlı yazılımın arkasındaki bilinmeyen tehdit aktörleri tarafından aktif gelişimini işaret eder.
Veba dört önemli özelliğe sahiptir: anti-kötü niyetli ve telli gizleme kullanarak gizli erişim, direnç analizi ve ters mühendislik sağlamak için statik kimlik bilgileri; ve bir SSH oturumunun kanıtını silerek gelişmiş gizli.
Bu da, SSH_Connection ve SSH_Client gibi ortam değişkenlerinin unsetenv kullanılarak belirlenmesi ve bir denetim izinden ayrılmaktan kaçınmak için histFile /dev /null’a yönlendirme ile gerçekleştirilir.
Pezier, “Veba, kimlik doğrulama yığınına derinlemesine entegre olur, sistem güncellemelerinden kurtulur ve neredeyse adli iz bırakmaz.” “Katmanlı gizleme ve çevre kurcalama ile birleştiğinde, bu, geleneksel araçları kullanarak tespit etmeyi son derece zorlaştırıyor.”