• # Titre trompeur ou ironique ?

    Posté par  . Évalué à 8 (+6/-0).

    Je n'ai pas creusé mais encore une fois cela semble un article relayant des propose alarmistes tenus par une entreprise qui vend des solutions de sécurité / antivirus.

    Et bien entendu, comme d'habitude, il n'y a aucune indication sur la manière dont ce « virus » peut s'installer(*) et se propager. D'ailleurs ils aveunt qu'il n'en savent strictement rien :

    Another reason to worry is that Nextron isn’t sure how miscreants would install Plague.

    --
    (*) vu que c'est un module PAM, il faut être root, donc machine déjà compromise ou grosse boulette de l'adminsys.

    • [^] # Re: Titre trompeur ou ironique ?

      Posté par  . Évalué à 2 (+0/-0). Dernière modification le 06 août 2025 à 17:16.

      Je suis d'accord avec le début.

      Pour la partie « comment ça s'installe et ça se propage » : surement par des paquets « utilisateurs » pourris (AUR pour archlinux). Il n'y a qu'à remplacer une lib par une autre à l'install.
      Ça serait plus compliqué avec des paquets officiels. Est-ce impossible ? L'histoire montre qu'avec un peu de patience et de confiance mal placée, tout est possible.

      EDIT: il est vrai que la modification d'un fichier appartenant à un autre package va être signalé lors de la prochaine mise à jour de l'autre package. PAM est souvent mis à jour ?

      Discussions en français sur la création de jeux videos : IRC libera / #gamedev-fr

      • [^] # Re: Titre trompeur ou ironique ?

        Posté par  . Évalué à 3 (+1/-0). Dernière modification le 06 août 2025 à 17:34.

        Je n'ai pas dit que c'était impossible ;)

        Pour les paquets utilisateurs il faudrait un paquet qui installe un module PAM qui n'est pas dans les dépôts officiels soit qu'il propose une version plus récente que les paquets officiels. Par contre un paquet qui tenterait de remplacer un fichier issu d'un autre paquet générera une erreur avec un bon gestionnaire de paquet (APT par exedmple).
        Quoiqu'il en soit cela entre dans la catégorie grosse bourde de l’administrateur du système.

        De mémoire PAM reçoit parfois des mises à jour de sécurité mais c'est assez rare.

  • # mouais

    Posté par  . Évalué à 8 (+6/-0). Dernière modification le 06 août 2025 à 12:05.

    Alors revenons à la source:

    https://www.nextron-systems.com/2025/08/01/plague-a-newly-discovered-pam-based-backdoor-for-linux/

    qui indique que c'est un nouveau truc, non détecté par les antivirus (sur virustotal, le site qui regroupe pleins d'antivirus windows). Bon, c'est nouveau sur un système pas utilisé, aucun AV le détecte, rien d'étonnant.

    Lisons un peu le site nextron-systems, ils ont découvert une autre backdoor PAM: https://www.nextron-systems.com/2025/05/30/stealth-in-100-lines-analyzing-pam-backdoors-in-linux/ mais apparemment ça a fait moins de bruit.

    Passons à l'analyse, alors oui, PAM est relativement central dans l'authent et ça en fait une cible de choix pour un attaquant. On a pas mal d'infos sur le fonctionnement interne de plague, le déchiffrement de chaines, l'obfuscation, etc… mais pas trop sur son installation; c'est un module PAM et c'est tout ce qu'on saura. Les samples sont en .so, donc on peut imaginer un chargement de bibliothèque lors de l'authent.

    PAM fonctionne comme cela, cf (une partie du) fichier /etc/pam.d/login:

    # Prints the message of the day upon successful login.
    # (Replaces the `MOTD_FILE' option in login.defs)
    # This includes a dynamically generated part from /run/motd.dynamic
    # and a static (admin-editable) part from /etc/motd.
    session    optional   pam_motd.so motd=/run/motd.dynamic
    session    optional   pam_motd.so noupdate
    

    Mais survient une question: normalement ces fichiers sont traqués par le gestionnaire paquets. Donc une modification de celui-ci (pour remplacer ou ajouter une bibliothèque) devrait se voir.

    C'est en contradiction avec ce qui est dit:

    Plague integrates deeply into the authentication stack, survives system updates, and leaves almost no forensic traces. Combined with layered obfuscation and environment tampering, this makes it exceptionally hard to detect using traditional tools.

    genre le "traditional tool" apt ou rpm?

    Pour l'instant, je m'inquiéterai pas trop en fait.

    • [^] # Re: mouais

      Posté par  . Évalué à 5 (+2/-0). Dernière modification le 08 août 2025 à 07:57.

      Mais survient une question: normalement ces fichiers sont traqués par le gestionnaire paquets. Donc une modification de celui-ci (pour remplacer ou ajouter une bibliothèque) devrait se voir.

      Ce n'est pas un problème, PAM intègre la possibilité d'utilisation de bibliothèques externes complémentaires, c'est tricky et la doc est sybiline (et je l'ai déjà utilisée pour faire mon propre .so 'module' pam dans un cadre boulot) ; il n'y a plus qu'à lui donner un nom bateau et le fourrer / le faire appeler dans le bon fichier de conf au bon endroit pour qu'il soit utilisé convenablement au bon moment. Donc nul besoin de changer l'existant, qui effectivement serait remplacé/écrasé facilement, seulement les fichiers de conf.

  • # déployé ou non

    Posté par  (Mastodon) . Évalué à 7 (+4/-0).

    Je ne comprends pas un truc:

    Ils disent qu'ils ont découvert un malware. Soit. Mais après ils disent qu'il n'y a aucune évidence que ce malware ait été déployée quelque part.

    Du coup c'est quoi ce malware si il n'a pas été utilisé? Un truc qu'ils ont acheté sur un marché du dark web? Un truc qu'ils ont développés eux-même? Du vaporware? ils l'on trouvé sous le tapis en cherchant leur clés?

    • [^] # Re: déployé ou non

      Posté par  . Évalué à 9 (+7/-0).

      Ils l'ont trouvé sur virustotal.

      Virustotal, c'est un site sur lequel n'importe qui peut faire analyser un fichier par une soixantaine d'antivirus différents. Certains développeurs de malware ont tendance à tester leur derniers samples pour vérifier leur efficacité anti-antivirus.
      Par un effet d'aubaine, pas mal de chercheurs en sécurité regardent les fichiers déposés sur virustotal pour avoir un panorama de la menace actuelle.

      Bref, les gars ont trouvé un sample sur virustotal, mais n'ont aucune info sur une activité de celui-ci in-the-wild (comment le savent ils? on ne sait pas).

      Mais comme ils vendent un antivirus (il semblerait), ça fait toujours de la bonne pub de signaler la "nouvelle menace-oulalala-qu'elle est grave celle-là, on va tous mourir", sauf que eux ils sont trop forts car eux, ils l'ont vu et leur mission consiste à informer le monde de cette menace.

      Bref, beaucoup de bruit marketing, peu d'infos techniques.

      • [^] # Re: déployé ou non

        Posté par  . Évalué à 3 (+1/-0).

        Ça me rappelle que pendant la formation CEH, on était amené à modifier des charges avec Metasploit, et on les mettait sur Virus Total, pour évaluer quelles modifs permettent de gruger un max d'anti-virus. C'était vite fait mais assez efficace.

        Le truc qu'ils ont trouvé semble être d'un autre genre, mais sait-on jamais, c'est ptet juste un gabarit ou un brouillon :).

  • # Oui

    Posté par  . Évalué à 5 (+3/-0).

    En dehors de l'effet waouh du communiqué, la partie pertinente est de voir qu'il y a des virus un tantinet sophistiqués qui ciblent Linux.

    Entre les instructions type curl https://blabla/installer.sh | bash, les repos npm/aur/que-sais-je et les confs sudo qui donnent le shell root sans mot de passe, y'a quand même de sacrées opportunités pour installer des trucs malveillants sur un Linux lambda.

    Quand la population d'utilisateurs et utilisatrices est constituées de personnes formées ou au moins informées de comment maintenir un ordi, ça se passe plutôt bien.

    Quand la population devient plus grand public (et c'est ce qu'il se passe avec Linux), les erreurs mineures s'accumulent, et la barre pour pouvoir infecter un Linux baisse.

    C'est la rançon du succès :).

    • [^] # Re: Oui

      Posté par  (Mastodon) . Évalué à 6 (+3/-0).

      Sans compter les jeux installés via Steam, les flatpak aux autorisations très généreuses, les appimage.

Envoyer un commentaire

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.