Neue Linux-Backdoor Plague unterläuft Sicherheitssysteme
Die Sicherheitsforscher von Nextron Systems entdeckten eine bislang unbekannte Linux-Backdoor, die seit über einem Jahr unerkannt in Systemen operiert. Die als Plague bezeichnete Malware nutzt eine besonders heimtückische Methode, indem sie sich als Pluggable Authentication Module tarnt und damit direkten Zugriff auf den Authentifizierungsprozess von Linux-Systemen erhält. Angreifer können somit die Systemanmeldung umgehen und dauerhaften SSH-Zugang erlangen, ohne dass Sicherheitssysteme Alarm schlagen. Obwohl mehrere Varianten der Malware seit Juli 2024 auf VirusTotal hochgeladen wurden, erkannte kein einziges der 66 getesteten Antivirenprogramme die Bedrohung.
Die technischen Fähigkeiten der Malware sind bemerkenswert. Plague verwendet mehrschichtige Verschleierungstechniken, die von einfacher XOR-Verschlüsselung in frühen Versionen zu komplexeren Methoden wie Key Schedule Algorithm und Pseudo-Random Generation Algorithm in neueren Varianten fortgeschritten sind. Die aktuellen Versionen fügen eine zusätzliche Deterministic Random Bit Generator-Schicht hinzu, wodurch die Analyse erheblich erschwert wird. Diese Entwicklung zeigt, dass die Betreiber ihre Techniken kontinuierlich verfeinern, um der Erkennung zu entgehen.
Das Malware-System verfügt über Anti-Debug-Mechanismen, die gezielt darauf ausgelegt sind, Analyseversuche zu vereiteln. Die Schadsoftware überprüft, ob ihr tatsächlicher Dateiname korrekt ist und ob bestimmte Umgebungsvariablen fehlen, die auf Debug-Umgebungen hinweisen könnten. Zusätzlich entfernt Plague systematisch Spuren ihrer Aktivitäten, indem sie SSH-bezogene Umgebungsvariablen löscht und die Befehlshistorie nach /dev/null umleitet. Diese Funktionen gewährleisten, dass keine Audit-Trails oder Anmeldemetadaten zurückbleiben.
Die Infiltration erfolgt durch die Manipulation der PAM-Module, die als gemeinsam genutzte Bibliotheken in privilegierte Authentifizierungsprozesse geladen werden. Diese Position ermöglicht es der Malware, Anmeldedaten abzufangen, Authentifizierungskontrollen zu umgehen und unentdeckt zu bleiben. Die Backdoor überlebt Systemaktualisierungen und hinterlässt kaum verwertbare forensische Spuren, was die Erkennung mit herkömmlichen Werkzeugen nahezu unmöglich macht.
Die Analyse zeigt fest kodierte Passwörter in verschiedenen Varianten, darunter Mvi4Odm6tld7, IpV57KNK32Ih und changeme. Diese ermöglichen Angreifern jederzeit verdeckten Zugang ohne ordnungsgemäße Authentifizierung. Ein Sample namens hijack könnte Hinweise auf den Ursprung der Malware liefern. Nach der Entschlüsselung wird eine Referenz zum Film Hackers von 1995 sichtbar mit der Nachricht Uh. Mr. The Plague, sir? I think we have a hacker.
Die Bedrohung richtet sich gegen kritische Linux-Systeme wie Bastion-Hosts, Jump-Server und Cloud-Infrastrukturen. Ein kompromittierter Bastion-Host kann Angreifern einen Stützpunkt bieten, um sich seitlich innerhalb interner Systeme zu bewegen oder sensible Daten zu exfiltrieren. In Cloud-Umgebungen kann eine einzige infizierte Instanz schnell Malware oder unbefugten Zugang auf mehrere virtuelle Maschinen oder Services übertragen.
Organisationen sollten ihre PAM-Konfigurationen prüfen, die Integrität der Authentifizierungsmodule verifizieren und Überwachung für verdächtige Authentifizierungsmuster implementieren. Die Raffinesse von Plague deutet wohlmöglich auf staatliche oder fortgeschrittene persistente Bedrohungsfähigkeiten hin, was eine erhöhte Sicherheitshaltung für kritische Infrastrukturen rechtfertigt.
Schlagwörter: Plague + PAM + Nextron
(pz)
