[Draalz]

Zitat:

Nextron findet bisher unbekannte Plague-Backdoor in Linux
Publiziert am 4. August 2025 von [ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ]

Sicherheitsforscher von Nextron Research sind bei der Suche nach unbekannten Bedrohungen mit YARA-Regeln auf eine bisher undokumentierte PAM-basierte Backdoor identifiziert. Diese von den Sicherheitsforschern Plague getaufte Backdoor kann von Angreifern persistent auf Linux-Systemen installiert werden und gewährt einen dauerhaften SSH-Zugriff, ohne von Sicherheitssystemen erkannt zu werden.

Ich bin zum Wochenende über nachfolgenden Tweet auf die zum 1. August 2025 von Nextron Research im Blog-Beitrag [ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ] dokumentierte Thematik gestoßen.



Die Entdecker schreiben, dass sie bei der Suche nach unbekannten Bedrohungen mit YARA-Regeln auf die bisher nicht dokumentierte PAM-basierte Backdoor gestoßen seien.

Das Kürzel PAM steht dabei für [ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ], eine Programmierschnittstelle (API), die es Programmen ermöglicht, Benutzer über konfigurierbare Module zu authentifizieren. PAM steht inzwischen auf AIX, HP-UX, Solaris, Linux, FreeBSD, NetBSD, macOS und DragonFly BSD zur Verfügung.

Die von den Entdeckern Plague genannte Backdoor kommt als bösartiges PAM (Pluggable Authentication Module) daher und ermöglicht es Angreifern, die Systemauthentifizierung unbemerkt zu umgehen und dauerhaften SSH-Zugriff zu erlangen. Die Backdoor

• tarnt sich als gängige Systembibliotheken
• wird von keinem Antivirus-Programm auf VirusTotal als bösartig erkannt
• wurde im Laufe der Zeit in mehrere Varianten kompiliert
• nutzt Techniken zur Verschleierung (XOR, KSA/PRGA, DRBG), Anti-Debug-Methoden und Ansätze, um Sessions zu verstecken
• hinterlässt keine Protokolle, und überlebt Updates des Systems
• nutzt ein mit Unicorn + IDA erstelltes, maßgeschneidertes Entschlüsselungstool

Laut Entdeckern gibt es nach deren Kenntnis bisher keine öffentlichen Berichte oder Erkennungsberichte zu dieser PAM-Backdoor. Das Vorhandensein mehrerer Samples, die über einen langen Zeitraum von einem Jahr und in verschiedenen Umgebungen kompiliert wurden, zeigt die aktive Entwicklung und Anpassung durch die unbekannten Cybergruppen.

Plague integriert sich tief in den Authentifizierungs-Stack, übersteht Aktualisierungen des Systems und hinterlässt fast keine forensischen Spuren. In Kombination mit mehrschichtiger Verschleierung und Manipulation der Umgebung ist diese Backdoor daher mit herkömmlichen Tools äußerst schwer zu erkennen.

Dieser Fall unterstreicht, so die Entwickler, die Bedeutung einer proaktiven Erkennung durch YARA-basierte Suche und Verhaltensanalyse – insbesondere für Implantate, die unbemerkt im Kern von Linux-Systemen operieren. Der Blog-Beitrag der Entdecker enthält eine detaillierte Analyse der Backdoor und der verwendeten Techniken.

[ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ]
Seit ich nicht mehr arbeite, ist der Port 22 auf meinem Router geschlossen. Bis auf ein, meiner Meinung nach, sicheres Fremdrepo, greife ich nur auf die Repos meines Distributors zu.