[English]Sicherheitsforscher von Nextron Research sind bei der Suche nach unbekannten Bedrohungen mit YARA-Regeln auf eine bisher undokumentierte PAM-basierte Backdoor gestoßen. Diese von den Sicherheitsforschern Plague getaufte Backdoor kann von Angreifern persistent auf Linux-Systemen installiert werden und gewährt einen dauerhaften SSH-Zugriff, ohne von Sicherheitssystemen erkannt zu werden.
Ich bin zum Wochenende über nachfolgenden Tweet auf die zum 1. August 2025 von Nextron Research im Blog-Beitrag Plague: A Newly Discovered PAM-Based Backdoor for Linux dokumentierte Thematik gestoßen.
Die Entdecker schreiben, dass sie bei der Suche nach unbekannten Bedrohungen mit YARA-Regeln auf die bisher nicht dokumentierte PAM-basierte Backdoor gestoßen seien.
Anzeige
Das Kürzel PAM steht dabei für Pluggable Authentication Module, eine Programmierschnittstelle (API), die es Programmen ermöglicht, Benutzer über konfigurierbare Module zu authentifizieren. PAM steht inzwischen auf AIX, HP-UX, Solaris, Linux, FreeBSD, NetBSD, macOS und DragonFly BSD zur Verfügung.
Die von den Entdeckern Plague genannte Backdoor kommt als bösartiges PAM (Pluggable Authentication Module) daher und ermöglicht es Angreifern, die Systemauthentifizierung unbemerkt zu umgehen und dauerhaften SSH-Zugriff zu erlangen. Die Backdoor
- tarnt sich als gängige Systembibliotheken
- wird von keinem Antivirus-Programm auf VirusTotal als bösartig erkannt
- wurde im Laufe der Zeit in mehrere Varianten kompiliert
- nutzt Techniken zur Verschleierung (XOR, KSA/PRGA, DRBG), Anti-Debug-Methoden und Ansätze, um Sessions zu verstecken
- hinterlässt keine Protokolle, und überlebt Updates des Systems
Es wurde ein mit Unicorn + IDA erstelltes, maßgeschneidertes Entschlüsselungstool genutzt. Laut Entdeckern gibt es nach deren Kenntnis bisher keine öffentlichen Berichte oder Erkennungsberichte zu dieser PAM-Backdoor. Das Vorhandensein mehrerer Samples, die über einen langen Zeitraum von einem Jahr und in verschiedenen Umgebungen kompiliert wurden, zeigt die aktive Entwicklung und Anpassung durch die unbekannten Cybergruppen.
Plague integriert sich tief in den Authentifizierungs-Stack, übersteht Aktualisierungen des Systems und hinterlässt fast keine forensischen Spuren. In Kombination mit mehrschichtiger Verschleierung und Manipulation der Umgebung ist diese Backdoor daher mit herkömmlichen Tools äußerst schwer zu erkennen.
Dieser Fall unterstreicht, so die Entwickler, die Bedeutung einer proaktiven Erkennung durch YARA-basierte Suche und Verhaltensanalyse – insbesondere für Implantate, die unbemerkt im Kern von Linux-Systemen operieren. Der Blog-Beitrag der Entdecker enthält eine detaillierte Analyse der Backdoor und der verwendeten Techniken.
Anzeige
MVP: 2013 – 2016
Frage an die Linuxer hier:
Wie viel muss ich mir als Privatanwender/evaluierender Linux-Neuling nun Gedanken machen oder ist das eher für Unternehmen interessant?
Sorgen musst Du dir machen, wenn Du irgendwelche obskuren Module installiert hast (es sei denn, ein offizielles Repository wäre infiziert, was mir aber nicht bekannt ist), die in PAM eingreifen – wird eher nicht bei Privatanwendern der Fall sein, tippe ich mal.
Wenn ich das richtig verstehe, keine
Das ist vorallem für Leute interessant, welche einen Server betreiben, der Dienste bereitstellt für das Internet. Also Webserver / MailServer / SSH Server…
Gerade Debian basierende Linuxe verwenden SSH + PAM, und SSH hatte die letzten Monate durchaus einige Probleme.
(z.b. https://blog.qualys.com/vulnerabilities-threat-research/2024/07/01/regresshion-remote-unauthenticated-code-execution-vulnerability-in-openssh-server )
und du benötigst, einen Physischen zugriff auf das Gerät, um so einen Backdoor zu installieren.
Hast du Freunde, die unbedingt SSH Zugriff auf deinen Linux Rechner haben wollen, solltest du dir Gedanken machen! Ansonsten eher nicht.
Das halte ich für eine falsche Aussage bzw. eine sehr enge Sichtweise, nach den ganzen Exploits der letzten Zeit, SSH/Apache usw.
Danke an alle, dann bin ich erst mal beruhigt.
Für die Installation eines PAM sind meines Wissens root-Rechte erforderlich, also müsste das System schon zuvor kompromittiert worden sein, sei es über ein infiziertes Repo, Software aus dubiosen Quellen oder in Kombi mit einer weiteren Lücke, die remote root-Zugriff verschafft. Und wenn das bereits gelungen ist, ist die Sache im Prinzip eh schon gelaufen.
Wenn da nicht noch ein weiteres Puzzleteil dahintersteckt, würde ich die Gefahr bzw. die Verbreitung von Plague als gering einschätzen.
Root, vielleicht über diese nicht geschlossene Lücke in Debian Bullseye/Bookworm pam?
"A flaw was found in linux-pam. The module pam_namespace may use access user-controlled paths without proper protection, allowing local users to elevate their privileges to root via multiple symlink attacks and race conditions."
Quelle: https://security-tracker.debian.org/tracker/CVE-2025-6020
1 +
Die selbe Argumentation kann man natürlich auch für Backdoors in Windows verwenden. Wenn ich nur das Windows Grundsystem und das passende Office verwende. Nur Applikationen aus MS Hand, dann schleicht sich auch eher wenig ein (Außer das was von MS eventuell schon mitkommt – Telemetry etc). Natürlich kann man jetzt über Statistik sprechen und die Anzahl der Sicherheitslücken, bei denen Linux Vorteile hat. Aber Null Sicherheitslücken gab es auch in Linux nicht, die somit ein Kompromittieren des Systems erlauben. Auch wird nicht immer alles aktuell im Repository geliefert. Oft sind die Versionen sehr veraltet und daher greift man – wenn man Applikationen für einen anderen zweck als Linux selbst verwendet (Grafikberabeitung, Musik, Spiele) verwendet oder gar mit KI testet – mindestens zu Flatpacks, die ja nicht unbedingt immer sicher waren/sind. Gerade auch wenn man viel mit Python Libraries arbeitet, dann ist nichts wirklich sicher.
Die Linux Sicherheit die immer suggeriert wird, bezieht sich auch nur auf das Kernel System. Wer mit einem Desktop System arbeiten will – wie mit Windows, wird auch in Linux stetig entscheiden müssen, ob er das Risiko eingeht, das "System zu kompromittieren" oder "sich in der eigentlichen Arbeit/Spiel/Spaß abseits von Betriebssystem und Konsole einschränken müssen bzw. gar behindern".
Deshalb macht es schon einen Unterschied ob es Backdoors gibt, die schwer zu entdecken sind, oder sich so vergraben können, dass sie auch Updates etc überstehen. Im privaten Umfeld zumindest.
Das stimmt so einfach nicht.
Linux ist deutlich einfacher aufgebaut zum Thema Rechte wie Windows. Die Angriffsfläche ist viel übersichtlicher.
Auch werden bei typischen Linux Distributionen alle Programme die dabei sind gewartet, im Gegensatz zu Windows oder Mac wo selbst Programme aus dem Store mitunter keine Updates bekommen.
Ja das Rechtesystem bei Linux ist besser und lässt weniger Spielraum. Ich spreche aber von Desktopsystemen für den Zweck das selbe zu machen wie mit Windows. Hier sind die Grafikapplikationen wie zB Krita, Inkscape (Blender ist meist schneller up to date) etc – nie auf dem aktuellen Stand. Zumindest nicht bei einer Distribution wie Linux Mint. Schon gar nicht wenn man eine ältere Haupt-Version verwendet, die eigentlich Langzeitunterstützung hat. Man ist wenn man neue Features verwenden möchte immer auf Flatpacks, oder Packages vom Hersteller angewiesen. Das ist auch keine Kritik an die Distributionen, die leisten hervorragendes – fast unmögliches – weil vieles ehrenamtlich gemacht wird. Es zeigt nur wenn man nicht Linux macht, sondern Linux nur zum Zweck für anderes verwendet – dann muss man immer abwägen – überschreite ich die empfohlene Grenze, (nichts außerhalb der Distri zu installieren) oder feiere ich mein Linux und verzichte ich auf das was ich eigentlich wirklich machen wollte.
https://linuxnews.de/schon-wieder-malware-im-aur-von-arch-linux/
Desktop-Applikationen laufen grundsätzlich mit User-Rechten, eine Kompromittierung auf Systemebene benötigt somit grundsätzlich die Verkettung mit einem weiteren Exploit zur Erhöhung der Privilegien. Wer seine Software aktuell und deren Installationsquellen übersichtlich hält, ist somit relativ gut geschützt.
NB: Das schöne am "traditionellen" Linux (ohne Flatpak, pip und wie-sie-alle-heißen) ist ja, dass die gesamte Software von einem einzigen Distributor zur Verfügung gestellt, gepflegt und "in einem Rutsch" aktualisiert wird.
Ein Beispiel:
Angenommen z.B. ich möchte für/aus MP4 Dateien Untertiteln transkribieren, weil meine Eltern schlecht hören und daher nur mit Untertiteln einen Film richtig verstehen. Dann ist das z.B. mit Whisper zumindest teilweise möglich. Wie installiere ich mir das nun, wenn ich kein Webservice verwenden möchte? Wenn ich in den Software-Paketen der Distributionen nach solcher Software für Spracherkennung suche, dann finde ich ggf. irgendwelche alten Methoden aus 2017-2019, die leider veraltet ist und einfach zu schlechte Ergebnisse liefert. Um etwas aktuelles zu installieren, benötige ich zum einen eine CUDA fähigen Grafik-Treiber, bei vorhandener NVIDIA Karte. Da funktioniert schon mal nur der der Treiber von NVIDIA selbst. Der von der Distribution startet schon mal nur mit Black Screen – abgesehen davon, dass der nicht alle CUDA Teile liefern würde. Also schon mal Fremdinstallation von NVIDIA.
Die Software die das Whisper Model, oder auch das Mistral Modell laufen lassen kann – findet man eigentlich entweder nur auf GITHUB oder mit PINOCCIO. In der Distribution gibts da nichts, schon gar nichts aktuelles. D.h. entweder lasse ich das Thema und ich verwende den Computer nur als Mail/Webbrowser/LibreOffice Ding (und Linux zum Selbstzweck – also Konsole) , oder ich installiere aus externen Quellen. Das Modell, das dann wirklich das transkribieren macht, das muss natürlich auch auf den Rechner. Das führe ich selbst zwar nicht aus, aber es wird dann aus python aus aufgerufen.
Ja man kann eventuell mit Docker arbeiten, wenn man sich damit auskennt. Aber kennt man sich da so gut aus, dass keine Lücken beim Setting entstehen?
D.h. möchte ich meinen Rechner für etwas sinnvolles verwenden – Lebensverbesserung meiner Eltern, dann muss ich außerhalb der Distribution installieren.
Auch andere die gerne Spiele spielen, die müssen wohl auch irgendwann Wine oder ähnliches installieren.
Ich habe schnell gesucht und schon bei er ersten Suche 3 Lücken gefunden die in den letzten 1 1/2 Jahren die Privilegien unter Linux ausweiten konnten. Sicher wurden die geschlossen, aber manche stehen davor halt länger offen bis sie entdeckt werden.
Möchte jemand Spiele machen, installiert er/sie sich Godot, ja das ist in der Distribution drinnen. Aber die Plugins, die einem dann wirklich die Arbeit erleichtern, die muss man so nachinstallieren.
Ja Linux liefert eine größere Sicherheit als Windows, aber nur bedingt wenn man nicht "traditionelles Linux" nutzt – und von den meisten Windows Nutzern die den Rechner für mehr als nur Web/Mail nutzen, wäre dann Linux keine Alternative.
Aber so einfach wie sich, das bei dir nun anhört, ist es doch nicht, zumal nicht alle Geräte im Internet einfach so gelistet sind und sich jeder so einfach daran bedienen könnte. Da braucht es schon etwas mehr Phantasie und vor allem musst du dir folgendes überlegen, was würde einen Hacker interessieren, einen Rechner unbemerkt zu übernehmen, mit dem jemand MP4 Dateien Untertiteln transkribiert, weil meine Eltern schlecht hören.
Naja zumindest die Rechenleistung wäre interessant. (Bitcoin etc) Wenn dann etwas unbemerkt laufen kann, ist das ideal, denn dann hat der Rechner weniger Leistung aber man sieht nicht warum. Also so hätte ich das verstanden, mit dem, das es relativ unentdeckt bleibt.
> Linux ist deutlich einfacher aufgebaut zum Thema Rechte wie Windows.<
Grosse Worte gelassen ausgesprochen. Jede Wette, dass ein Windows Administrator beim Studium von (1) in Sachen Sicherheit praktisch wieder bei Null anfangen muss.
_
(1) https://docs.redhat.com/en/documentation/red_hat_enterprise_linux/7/html/selinux_users_and_administrators_guide/index
Was an meiner Aussage rein gar nichts ändert. Ohne Zutun des Users oder zusätzlichen Exploit ist die Gefahr gering, eine Verbreitung über die offiziellen Repos ist mir nicht bekannt und halte ich auch für sehr unwahrscheinlich.
Hinter den allermeisten Kompromitierungen steckt eine Vielzahl von Puzzleteilen.
Von dem man in diesem spezifischen Fall noch nichts gehört hat und darum ist die aufkeimende Panik vor der Megahintertür auch unangebracht.
> Und wenn das bereits gelungen ist, ist die Sache im Prinzip eh schon gelaufen. <
Für den Satz hättest Du bei uns eine Abmahnung bekommen. Das ist Denken aus den frühen 2000er Jahren und hat in einer an Defense in depth, Zero Trust und Assume Breach orientierten IT Security nichts verloren.
Die Botschaft hör ich wohl, allein mir fehlt der Glaube.
xz Bibliothek lässt grüßen, ich bin fast dabei wieder auf Windows-Server umzuswitchen.
Nextron bietet auch den kostenlosen schlanken Scanner "thor" in der Lite-Version unter www[.]nextron-systems.com.
Ein YARA- und IOC-Scanner. Der sollte wohl auch diese von ihnen entdeckte Schwachstellen kennen ;-)
Registrierungskey gilt 6 Monate ab Registrierung, Lizenzkey wird gemailt.
Dies für Linux, MacOs und Win [40-70MB standalone je Plattform]. In letzten Versionen wurde auch das Limit "1 scan thread only" entfernt und kann mit Parameter "–threads [integer]" zB im 3. Scanmodul "Filesystemscan" parallelisieren.
oder man nimmt clamav
@xx – Ich nutze CLAMAV + CLAMD ebenso für Files und Mail. Wenig gelobt, freie Soft und gut. THOR hat mMn einen guten Ansatz mit etwas anderem Fokus, Signatures, IOCs und größerem Umfang.
Wenn Du für CLAM eine Lösung oder Script kennst, das vollen Filescan aller Filetypes bietet, unter Linux auf X Kerne hochskaliert und nicht für jeden Thread auch RAM für Signatures einzeln allokiert… ich knobel da schon lange dran. CLAM hat leider diverse "Excludes by default", es hilft zB unter Linux nur CLAMD mit anderem Logging oder zu CLAM "pipen, | ".
Stärken sehe ich zB bei THOR beim Prozess-Scan, Logoutput oder einfachen Config-Files für Settings mit RegEx. Ebenso bei Scanresult und zentralen (dann doch kostenpflichtigem) Reporting. Dazu: Made in Germany, wenig Cloud oder Ausleitung (denken wir an Kaspersky, Sophos oder non-EU).
Die Integration und Updates ist hier noch manuell, es lieferte mW standalone & out-of-the-box keine Scripte dafür.