[English]Sicherheitsforscher von Nextron Research sind bei der Suche nach unbekannten Bedrohungen mit YARA-Regeln auf eine bisher undokumentierte PAM-basierte Backdoor identifiziert. Diese von den Sicherheitsforschern Plague getaufte Backdoor kann von Angreifern persistent auf Linux-Systemen installiert werden und gewährt einen dauerhaften SSH-Zugriff, ohne von Sicherheitssystemen erkannt zu werden.
Anzeige
Ich bin zum Wochenende über nachfolgenden Tweet auf die zum 1. August 2025 von Nextron Research im Blog-Beitrag Plague: A Newly Discovered PAM-Based Backdoor for Linux dokumentierte Thematik gestoßen.
Die Entdecker schreiben, dass sie bei der Suche nach unbekannten Bedrohungen mit YARA-Regeln auf die bisher nicht dokumentierte PAM-basierte Backdoor gestoßen seien.
Das Kürzel PAM steht dabei für Pluggable Authentication Module, eine Programmierschnittstelle (API), die es Programmen ermöglicht, Benutzer über konfigurierbare Module zu authentifizieren. PAM steht inzwischen auf AIX, HP-UX, Solaris, Linux, FreeBSD, NetBSD, macOS und DragonFly BSD zur Verfügung.
Die von den Entdeckern Plague genannte Backdoor kommt als bösartiges PAM (Pluggable Authentication Module) daher und ermöglicht es Angreifern, die Systemauthentifizierung unbemerkt zu umgehen und dauerhaften SSH-Zugriff zu erlangen. Die Backdoor
Anzeige
- tarnt sich als gängige Systembibliotheken
- wird von keinem Antivirus-Programm auf VirusTotal als bösartig erkannt
- wurde im Laufe der Zeit in mehrere Varianten kompiliert
- nutzt Techniken zur Verschleierung (XOR, KSA/PRGA, DRBG), Anti-Debug-Methoden und Ansätze, um Sessions zu verstecken
- hinterlässt keine Protokolle, und überlebt Updates des Systems
- nutzt ein mit Unicorn + IDA erstelltes, maßgeschneidertes Entschlüsselungstool
Laut Entdeckern gibt es nach deren Kenntnis bisher keine öffentlichen Berichte oder Erkennungsberichte zu dieser PAM-Backdoor. Das Vorhandensein mehrerer Samples, die über einen langen Zeitraum von einem Jahr und in verschiedenen Umgebungen kompiliert wurden, zeigt die aktive Entwicklung und Anpassung durch die unbekannten Cybergruppen.
Plague integriert sich tief in den Authentifizierungs-Stack, übersteht Aktualisierungen des Systems und hinterlässt fast keine forensischen Spuren. In Kombination mit mehrschichtiger Verschleierung und Manipulation der Umgebung ist diese Backdoor daher mit herkömmlichen Tools äußerst schwer zu erkennen.
Dieser Fall unterstreicht, so die Entwickler, die Bedeutung einer proaktiven Erkennung durch YARA-basierte Suche und Verhaltensanalyse – insbesondere für Implantate, die unbemerkt im Kern von Linux-Systemen operieren. Der Blog-Beitrag der Entdecker enthält eine detaillierte Analyse der Backdoor und der verwendeten Techniken.
Anzeige
Frage an die Linuxer hier:
Wie viel muss ich mir als Privatanwender/evaluierender Linux-Neuling nun Gedanken machen oder ist das eher für Unternehmen interessant?
Sorgen musst Du dir machen, wenn Du irgendwelche obskuren Module installiert hast (es sei denn, ein offizielles Repository wäre infiziert, was mir aber nicht bekannt ist), die in PAM eingreifen – wird eher nicht bei Privatanwendern der Fall sein, tippe ich mal.
Wenn ich das richtig verstehe, keine
Zitat:
"nutzt ein mit Unicorn + IDA erstelltes, maßgeschneidertes Entschlüsselungstool"
—
Nein, nicht diese Plague-Backdoor benutzt dieses Entschlüsselungstool, sondern die Sicherheitsforscher, die diese backdoor entdeckten, haben sich so ein Entschlüsselungstool mit Hilfe des Unicorn-Emulators gebaut, damit man die entschlüsselten Strings im Debugger IDA Pro sehen kann.
2.
Grammatikfehler in Satz 1:
"Sicherheitsforscher … sind … auf … identifiziert."
->
Entweder
"… haben … identifiziert"
oder
"… sind … auf … gestoßen"