登录框下的幽灵：中国关联黑客组织“天鹅绒蚂蚁”在Linux系统中潜伏十年

这一简单的替换动作，通过单一的植入物提供了两大能力：

1. 主密码万能钥匙。被植入后门的模块包含一个硬编码的秘密密码。只需这个密码，就能访问任何用户账户，完全绕过正常的身份验证。即使管理员轮换了所有用户的凭证，攻击者依然可以大摇大摆地从正门走进来 。
2. 静默凭证收割。每一个合法的登录事件都会被实时捕获。所有登录用户的明文密码都被写入一个隐藏在 /usr/share/awk/nullfile.awk 的文件中。这使得“天鹅绒蚂蚁”能够在整个用户群体中收集有效凭证，而无需产生额外的横向移动噪音 。

为什么标准清理措施会失效

传统的应急响应手册在面对一个已经重新编译了你操作系统登录组件的敌人时，显得力不从心。Sygnia 的报告明确指出，前几次清理尝试之所以失败，原因在于：

• 清理盲区。标准的操作流程——删除可疑文件、结束恶意进程、轮换所有密码——对攻击者的主要持久化机制几乎毫无影响。被篡改的 pam_unix.so 和 SSH 二进制文件，除了其编译后的逻辑外，在任何意义上都是“合法”的系统文件 。
• 元数据伪装。攻击者保留了原有的文件名、路径、时间戳，并且让文件大小大致相同。任何仅依赖于文件元数据的完整性检查——这在许多企业环境中很常见——都无法发现任何异常 。
• 密码轮换的徒劳。由于硬编码的主密码内置于认证模块本身，重置所有用户凭证并不能将对手锁在门外 。
• 自我恢复的设计。调查中收集的证据表明，该后门旨在抵御部分的修复操作。如果安全团队清理了几台主机，但其他主机上的认证堆栈仍受感染，该组织就可以再次横向移动，重新感染那些已完成重建的机器 。

Sygnia 最终采取的修复步骤是明确的：必须使用已知干净、只读的介质，对每一台受影响的主机进行完整的操作系统重建。选择性地删除文件或部分重新映像都是不够的 。

攻击技战术模式

“天鹅绒蚂蚁”的成功并不依赖于另类的攻击链。相反，该组织展现了一套成熟的作战手册，核心是耐心和认证层的伪装。

归因与相关活动

Sygnia 将“高地行动”高度确信地归因于“天鹅绒蚂蚁”，并将该组织与中国的国家级间谍活动目标联系起来 。该组织主要针对东亚地区的大型机构，特别是电信提供商和关键基础设施 。

此前和并行的活动提供了更多背景信息。在另一起案例中，“天鹅绒蚂蚁”曾利用旧版 F5 BIG-IP 设备作为命令与控制（C2）代理，并持续了至少三年，直到 Sygnia 的调查发现了这一活动 。该组织在早期的入侵中，还被观察到部署了 PlugX 和 ShadowPad 恶意软件，这表明其工具库覆盖了自定义和公开可用的广泛能力 。

防守方现在应该做什么

“高地行动”最重要的防御教训是，当认证堆栈本身已不可信时，传统的端点保护和凭证轮换是远远不够的。

防御方应优先实施文件完整性监控，将关键系统二进制文件，包括 /lib/security/pam_unix.so 和 SSH 守护进程二进制文件，与已知的干净基线进行加密哈希比对，而不仅仅是检查文件元数据。同时，将所有认证事件集中记录到一个不可变的外部系统也至关重要，因为拥有足够权限的攻击者可以篡改主机上的日志。多因素认证仍然是一道宝贵的屏障，但它并不能直接防御一个完全绕过认证检查的后门 PAM 服务。

“高地行动”表明，最危险的持久化方式看起来根本不像恶意软件，它就像你每天都会信任的那个登录提示框。