Die Sicherheitsforscher von Nextron Systems entdeckten eine bislang unbekannte Linux-Backdoor, die seit \u00fcber einem Jahr unerkannt in Systemen operiert. Die als Plague bezeichnete Malware nutzt eine besonders heimt\u00fcckische Methode, indem sie sich als Pluggable Authentication Module tarnt und damit direkten Zugriff auf den Authentifizierungsprozess von Linux-Systemen erh\u00e4lt. Angreifer k\u00f6nnen somit die Systemanmeldung umgehen und dauerhaften SSH-Zugang erlangen, ohne dass Sicherheitssysteme Alarm schlagen. Obwohl mehrere Varianten der Malware seit Juli 2024 auf VirusTotal hochgeladen wurden, erkannte kein einziges der 66 getesteten Antivirenprogramme die Bedrohung. <\/p>\n
Die technischen F\u00e4higkeiten der Malware sind bemerkenswert. Plague verwendet mehrschichtige Verschleierungstechniken, die von einfacher XOR-Verschl\u00fcsselung in fr\u00fchen Versionen zu komplexeren Methoden wie Key Schedule Algorithm und Pseudo-Random Generation Algorithm in neueren Varianten fortgeschritten sind. Die aktuellen Versionen f\u00fcgen eine zus\u00e4tzliche Deterministic Random Bit Generator-Schicht hinzu, wodurch die Analyse erheblich erschwert wird. Diese Entwicklung zeigt, dass die Betreiber ihre Techniken kontinuierlich verfeinern, um der Erkennung zu entgehen.<\/p>\n
Das Malware-System verf\u00fcgt \u00fcber Anti-Debug-Mechanismen, die gezielt darauf ausgelegt sind, Analyseversuche zu vereiteln. Die Schadsoftware \u00fcberpr\u00fcft, ob ihr tats\u00e4chlicher Dateiname korrekt ist und ob bestimmte Umgebungsvariablen fehlen, die auf Debug-Umgebungen hinweisen k\u00f6nnten. Zus\u00e4tzlich entfernt Plague systematisch Spuren ihrer Aktivit\u00e4ten, indem sie SSH-bezogene Umgebungsvariablen l\u00f6scht und die Befehlshistorie nach \/dev\/null umleitet. Diese Funktionen gew\u00e4hrleisten, dass keine Audit-Trails oder Anmeldemetadaten zur\u00fcckbleiben.<\/p>\n
Die Infiltration erfolgt durch die Manipulation der PAM-Module, die als gemeinsam genutzte Bibliotheken in privilegierte Authentifizierungsprozesse geladen werden. Diese Position erm\u00f6glicht es der Malware, Anmeldedaten abzufangen, Authentifizierungskontrollen zu umgehen und unentdeckt zu bleiben. Die Backdoor \u00fcberlebt Systemaktualisierungen und hinterl\u00e4sst kaum verwertbare forensische Spuren, was die Erkennung mit herk\u00f6mmlichen Werkzeugen nahezu unm\u00f6glich macht.<\/p>\n
Die Analyse zeigt fest kodierte Passw\u00f6rter in verschiedenen Varianten, darunter Mvi4Odm6tld7, IpV57KNK32Ih und changeme. Diese erm\u00f6glichen Angreifern jederzeit verdeckten Zugang ohne ordnungsgem\u00e4\u00dfe Authentifizierung. Ein Sample namens hijack k\u00f6nnte Hinweise auf den Ursprung der Malware liefern. Nach der Entschl\u00fcsselung wird eine Referenz zum Film Hackers von 1995 sichtbar mit der Nachricht Uh. Mr. The Plague, sir? I think we have a hacker.<\/p>\n
Die Bedrohung richtet sich gegen kritische Linux-Systeme wie Bastion-Hosts, Jump-Server und Cloud-Infrastrukturen. Ein kompromittierter Bastion-Host kann Angreifern einen St\u00fctzpunkt bieten, um sich seitlich innerhalb interner Systeme zu bewegen oder sensible Daten zu exfiltrieren. In Cloud-Umgebungen kann eine einzige infizierte Instanz schnell Malware oder unbefugten Zugang auf mehrere virtuelle Maschinen oder Services \u00fcbertragen.<\/p>\n
Organisationen sollten ihre PAM-Konfigurationen pr\u00fcfen, die Integrit\u00e4t der Authentifizierungsmodule verifizieren und \u00dcberwachung f\u00fcr verd\u00e4chtige Authentifizierungsmuster implementieren. Die Raffinesse von Plague deutet wohlm\u00f6glich auf staatliche oder fortgeschrittene persistente Bedrohungsf\u00e4higkeiten hin, was eine erh\u00f6hte Sicherheitshaltung f\u00fcr kritische Infrastrukturen rechtfertigt.<\/p>\n
Schlagw\u00f6rter: Plague + PAM + Nextron
(pz)<\/p>\n","protected":false},"excerpt":{"rendered":"
Die Sicherheitsforscher von Nextron Systems entdeckten eine bislang unbekannte Linux-Backdoor, die seit \u00fcber einem Jahr unerkannt in Systemen operiert. Die als Plague bezeichnete Malware nutzt eine besonders heimt\u00fcckische Methode, indem sie sich als Pluggable Authentication Module tarnt und damit direkten Zugriff auf den Authentifizierungsprozess von Linux-Systemen erh\u00e4lt. Angreifer k\u00f6nnen somit...<\/p>\n","protected":false},"author":6,"featured_media":13945,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[1],"tags":[],"class_list":["post-13946","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-uncategorized"],"_links":{"self":[{"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/posts\/13946","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/users\/6"}],"replies":[{"embeddable":true,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=13946"}],"version-history":[{"count":3,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/posts\/13946\/revisions"}],"predecessor-version":[{"id":13949,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/posts\/13946\/revisions\/13949"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/media\/13945"}],"wp:attachment":[{"href":"https:\/\/byte-bucket.com\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=13946"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=13946"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=13946"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}