myGully.com

myGully.com (https://mygully.com/index.php)
-   News (https://mygully.com/forumdisplay.php?f=390)
-   -   [Software] Nextron findet bisher unbekannte Plague-Backdoor in Linux (https://mygully.com/showthread.php?t=8319344)

Draalz 04.08.25 19:35
Nextron findet bisher unbekannte Plague-Backdoor in Linux
 
Zitat:
Nextron findet bisher unbekannte Plague-Backdoor in Linux
Publiziert am 4. August 2025 von [Link nur für registrierte und freigeschaltete Mitglieder sichtbar. Jetzt registrieren...]

Sicherheitsforscher von Nextron Research sind bei der Suche nach unbekannten Bedrohungen mit YARA-Regeln auf eine bisher undokumentierte PAM-basierte Backdoor identifiziert. Diese von den Sicherheitsforschern Plague getaufte Backdoor kann von Angreifern persistent auf Linux-Systemen installiert werden und gewährt einen dauerhaften SSH-Zugriff, ohne von Sicherheitssystemen erkannt zu werden.

Ich bin zum Wochenende über nachfolgenden Tweet auf die zum 1. August 2025 von Nextron Research im Blog-Beitrag [Link nur für registrierte und freigeschaltete Mitglieder sichtbar. Jetzt registrieren...] dokumentierte Thematik gestoßen.

[Link nur für registrierte und freigeschaltete Mitglieder sichtbar. Jetzt registrieren...]

Die Entdecker schreiben, dass sie bei der Suche nach unbekannten Bedrohungen mit YARA-Regeln auf die bisher nicht dokumentierte PAM-basierte Backdoor gestoßen seien.

Das Kürzel PAM steht dabei für [Link nur für registrierte und freigeschaltete Mitglieder sichtbar. Jetzt registrieren...], eine Programmierschnittstelle (API), die es Programmen ermöglicht, Benutzer über konfigurierbare Module zu authentifizieren. PAM steht inzwischen auf AIX, HP-UX, Solaris, Linux, FreeBSD, NetBSD, macOS und DragonFly BSD zur Verfügung.

Die von den Entdeckern Plague genannte Backdoor kommt als bösartiges PAM (Pluggable Authentication Module) daher und ermöglicht es Angreifern, die Systemauthentifizierung unbemerkt zu umgehen und dauerhaften SSH-Zugriff zu erlangen. Die Backdoor
  • tarnt sich als gängige Systembibliotheken
  • wird von keinem Antivirus-Programm auf VirusTotal als bösartig erkannt
  • wurde im Laufe der Zeit in mehrere Varianten kompiliert
  • nutzt Techniken zur Verschleierung (XOR, KSA/PRGA, DRBG), Anti-Debug-Methoden und Ansätze, um Sessions zu verstecken
  • hinterlässt keine Protokolle, und überlebt Updates des Systems
  • nutzt ein mit Unicorn + IDA erstelltes, maßgeschneidertes Entschlüsselungstool
Laut Entdeckern gibt es nach deren Kenntnis bisher keine öffentlichen Berichte oder Erkennungsberichte zu dieser PAM-Backdoor. Das Vorhandensein mehrerer Samples, die über einen langen Zeitraum von einem Jahr und in verschiedenen Umgebungen kompiliert wurden, zeigt die aktive Entwicklung und Anpassung durch die unbekannten Cybergruppen.

Plague integriert sich tief in den Authentifizierungs-Stack, übersteht Aktualisierungen des Systems und hinterlässt fast keine forensischen Spuren. In Kombination mit mehrschichtiger Verschleierung und Manipulation der Umgebung ist diese Backdoor daher mit herkömmlichen Tools äußerst schwer zu erkennen.

Dieser Fall unterstreicht, so die Entwickler, die Bedeutung einer proaktiven Erkennung durch YARA-basierte Suche und Verhaltensanalyse – insbesondere für Implantate, die unbemerkt im Kern von Linux-Systemen operieren. Der Blog-Beitrag der Entdecker enthält eine detaillierte Analyse der Backdoor und der verwendeten Techniken.
[Link nur für registrierte und freigeschaltete Mitglieder sichtbar. Jetzt registrieren...]
Seit ich nicht mehr arbeite, ist der Port 22 auf meinem Router geschlossen. Bis auf ein, meiner Meinung nach, sicheres Fremdrepo, greife ich nur auf die Repos meines Distributors zu.


Alle Zeitangaben in WEZ +1. Es ist jetzt 23:41 Uhr.

Powered by vBulletin® (Deutsch)
Copyright ©2000 - 2025, Jelsoft Enterprises Ltd.