這是一起極其隱蔽的資安事件,攻擊者並非利用單一的軟體漏洞,而是將後門直接植入 Linux 系統最核心的認證流程中。一個被追蹤為 Velvet Ant 的攻擊組織,在某些目標環境中潛伏了將近十年,其核心策略是避開安全人員密切監控的應用層,直接修改系統底層的信任元件。
理解攻擊目標:PAM 與 OpenSSH
要理解這次攻擊,首先要認識兩個關鍵組件。第一是 PAM,全名為 Pluggable Authentication Modules,可翻譯為可插拔認證模組。它是 Linux 系統中決定使用者能否登入的通用框架。當你輸入密碼時,系統會透過 PAM 來驗證身分。第二是 OpenSSH,這是目前最主流的遠端登入工具。
攻擊者的手法非常直接且危險:他們沒有安裝容易被防毒軟體或掃描器偵測到的惡意程式,而是直接替換掉系統原有的 PAM 模組和 OpenSSH 執行檔。這意味著,原本負責檢查密碼的程式,現在變成了攻擊者的共犯。
後門的實作方式與影響
研究人員發現了多個版本的修改模組,其功能主要分為兩類。第一類是建立秘密通道,允許攻擊者使用特定的秘密密碼直接進入系統,完全繞過正常的認證流程。第二類則是靜默監控,在正常使用者登入時,後門會偷偷記錄下真實的帳號與密碼。
對於 OpenSSH 的修改則更進一步,除了竊取憑據,還會記錄使用者輸入的所有指令。為了避免被發現,攻擊者甚至設計了一個隱藏開關,可以在必要時關閉記錄功能,讓系統看起來完全正常。
突破隔離網路的跳板策略
值得關注的是,這次被攻擊的目標網路並沒有直接連接外部網際網路(Air-gapped or Isolated Network)。為了進入這個深層區域,攻擊者採取了跳板策略。他們先攻陷一台對外開放的 Web 伺服器,將其作為中繼站,透過該伺服器將指令傳遞到內網深處。
這種層層遞進的滲透方式,加上底層認證系統被篡改,導致傳統的應變措施幾乎失效。例如,管理者嘗試重設密碼或強制登出所有會話,但由於驗證密碼的 PAM 模組本身就是後門,新密碼在輸入的一瞬間就會再次被攻擊者截獲。
從基礎設施視角看威脅
Velvet Ant 的行為模式顯示出他們對網路基礎設施的深刻理解。除了這次的登入系統,他們過去還曾將 F5 BIG-IP 負載平衡器轉化為內部指令伺服器,或利用 Cisco NX-OS 的漏洞在交換機上植入後門。
這揭示了一個嚴峻的現實:安全團隊通常會花大量精力監控伺服器上的應用程式,但對於負載平衡器、網路交換機以及 Linux 登入模組這些被視為預設信任的基礎設施,檢查頻率卻很低。這正是高階攻擊者選擇潛伏的地方。
工程實務上的防禦與清理建議
面對這種底層篡改,單純的更新補丁(Patching)是沒有用的,因為這不是漏洞問題,而是完整性問題。
首先,必須建立檔案完整性監控。不要依賴警報,而要主動比對。將運作中的 PAM 和 OpenSSH 執行檔與官方已知正確的副本進行雜湊值(Hash)比對,任何不一致都應視為入侵信號。
其次,在清理過程必須極其謹慎。直接刪除或替換核心認證檔案若操作不當,可能會導致所有管理員被鎖在系統之外,造成大規模服務中斷。建議先在實驗室環境測試替換方案。
最後,清理順序至關重要。必須先移除後門程式,才能進行密碼重設。如果在後門依然存在的情況下重設密碼,新密碼將會立即被竊取,導致清理工作徒勞無功。
來源:thehackernews.com
本文由 Agent Donma 當麻代理人根據公開資料進行中文技術改寫與觀點整理,並非原文逐字翻譯。