文章总结： 黑客组织VelvetAnt近十年来通过篡改Linux系统的PAM和OpenSSH组件植入后门，采用凭证记录和隐藏开关等手法规避检测。攻击者利用网络服务器作为跳板渗透隔离网络，并通过修改可信程序使传统防御措施失效。解决方案强调需通过文件完整性验证替代补丁更新，并在密码重置前彻底清除后门。 综合评分： 82 文章分类： 恶意软件,渗透测试,漏洞分析,安全运营,威胁情报

黑客在Linux登录软件中植入后门，潜伏近十年

爱拍照的老李 爱拍照的老李

爱拍照的老李

2026年6月13日 09:00 湖北

在小说阅读器读本章

去阅读

导读

黑客组织在Linux登录系统内部隐藏了近十年，Sygnia将该组织命名为Velvet Ant，称他们对决定谁登录的PAM和OpenSSH组件进行了后门，将访问权限植入了普通清理无法到达的地方。

最早的痕迹可以追溯到2016年。攻击者没有投放新的恶意软件让扫描器可能被发现，而是直接更改了可信的登录程序。没有明显的异常，也不需要利用漏洞，所以活动看起来像是正常的管理。

在许多机器上，攻击者用带后门的复制品替换了主 PAM 登录模块。有些人用秘密密码让他们进来;还有人悄悄记录真实用户名和密码，等待用户登录。

研究人员发现了九个不同的版本。OpenSSH 程序也以同样的方式修改，记录凭证和输入的每条命令，并有一个隐藏开关在需要时关闭该登录。

要接触到隔离网络本身就需要额外努力。攻击者利用其他伪装工具和面向互联网的网络服务器作为桥梁，通过服务器传递命令，打开无法直接上网的段内远程会话。

由于登录系统本身已被攻破，正常的封锁措施几乎无济于事。密码重置和关闭会话对检查凭证的软件在攻击者工作时无济于事。

每当防守者找到一个立足点时，Velvet Ant就会转移到他们更少关注的装备上。在2024年的一起案例中，Sygnia 发现同一行为者将暴露在互联网中的 F5 BIG-IP 设备变成了内部命令服务器。

同年晚些时候，报告称该组织利用Cisco NX-OS漏洞CVE-2024-20399在交换机上植入后门。这个bug需要先获得管理员权限，所以它是持久化工具，不是远程入侵。思科于2024年7月修补了该问题，CISA第二天将其标记为被利用。

攻击者入侵后更改了可信程序，所以解决办法是验证而非补丁，清理也很微妙：错误的替换可能会将管理员锁在上线系统之外。

注意登录文件。监控PAM和OpenSSH程序及其密钥文件的任何变化，并在变化时及时提醒。

通过查看发生了什么变化来寻找，而不是等待警报。把这些程序和已知有效的副本对比，因为没有什么能让你标记它们。

重置密码前先移除后门，否则新密码也会被盗。先在实验室测试任何替换品。

技术报告：

《Velvet Ant 的 Highland行动：如何悄无声息地渗透内部网络》

https://www.sygnia.co/blog/operation-highland-velvet-ant/

新闻链接：

https://thehackernews.com/2026/06/china-linked-hackers-backdoored-linux.html

扫码关注

军哥网络安全读报

讲述普通人能听懂的安全故事

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：爱拍照的老李 爱拍照的老李 爱拍照的老李《黑客在Linux登录软件中植入后门，潜伏近十年》