Plague: Neue PAM-Backdoor bedroht Linux-Systeme
Sicherheitsanalysten haben eine bisher unbekannte Linux-Backdoor mit dem Namen „Plague“ entdeckt. Die Schadsoftware tarnt sich als PAM-Modul, um Authentifizierungen zu umgehen, SSH-Zugriff dauerhaft zu sichern und Anmeldedaten zu stehlen – ohne Spuren zu hinterlassen.
PAM (Pluggable Authentication Modules) ist ein grundlegendes Authentifizierungs-Framework in Linux- und Unix-Systemen. Es besteht aus Bibliotheken, die fest in sicherheitskritische Systemprozesse eingebunden werden und darüber steuern, wie sich Benutzer und Dienste anmelden oder autorisieren. Jedes Mal, wenn sich ein Nutzer über SSH, lokal oder über bestimmte Anwendungen anmeldet, läuft dieser Prozess über die konfigurierten PAM-Module.
Wird ein solches Modul manipuliert oder durch eine bösartige Version ersetzt, öffnet dies Angreifern einen besonders gefährlichen Zugang: Sie können Anmeldedaten im Klartext abgreifen, Authentifizierungsprüfungen gezielt überspringen und sich im System dauerhaft festsetzen – oft ohne von gängigen Sicherheitslösungen bemerkt zu werden, da der Code in einem vertrauenswürdigen Systembereich ausgeführt wird.
Genau hier setzt „Plague“ an. Diese Backdoor tarnt sich als legitimes PAM-Modul und nutzt die tiefgehende Systemintegration, um unbemerkt zu agieren. Laut Nextron Systems wurden seit Juli 2024 mehrere Plague-Varianten in öffentlichen Malware-Datenbanken wie VirusTotal hochgeladen – keine davon wurde von Antiviren-Engines als schädlich erkannt. Die Vielfalt der Samples zeigt: Die unbekannten Angreifer entwickeln den Schadcode aktiv weiter, um der Entdeckung zu entgehen.
Vier Kernfunktionen für maximale Tarnung
Plague verfügt über ein gefährliches Funktions-Quartett:
- Statische Zugangsdaten für verdeckten Zugriff, unabhängig von regulären Benutzerkonten
- Anti-Debugging-Techniken und Zeichenketten-Verschleierung, um Analysen zu erschweren
- Manipulation der Umgebung, um Spuren zu verwischen
- Löschung von Sitzungsartefakten, um forensische Nachweise zu verhindern
Besonders heimtückisch: Das Modul entfernt Umgebungsvariablen wie SSH_CONNECTION und SSH_CLIENT mit der Funktion unsetenv und leitet die Variable HISTFILE auf /dev/null um. Damit werden weder SSH-Verbindungen noch Shell-Befehle protokolliert.
Dauerhafte Persistenz und Update-Resistenz
Die Backdoor integriert sich tief in die Authentifizierungs-Architektur von Linux-Systemen. Selbst nach Systemupdates bleibt sie aktiv, da PAM-Module nicht automatisch ersetzt werden. Diese Persistenz in Kombination mit einer ausgefeilten Verschleierungstechnik macht Plague extrem schwer zu entdecken – insbesondere mit herkömmlichen signaturbasierten Erkennungsmethoden.
Warum Plague so gefährlich ist
Angriffe über kompromittierte PAM-Module stellen eine besonders kritische Bedrohung dar, weil sie direkt im vertrauenswürdigsten Teil des Systems ansetzen: dem Anmeldeprozess. Gelingt es Angreifern, ein solches Modul einzuschleusen, können sie nicht nur unbemerkt Zugangsdaten sammeln, sondern auch über SSH jederzeit wieder auf das System zugreifen – ohne dass Administratoren verdächtige Logins bemerken.
Schutzmaßnahmen gegen PAM-Backdoors
Organisationen, die Linux- oder Unix-Systeme betreiben, sollten folgende Schritte umsetzen:
- Integritätsprüfungen aller PAM-Module mittels Dateisignaturen und Hash-Werten
- Einsatz von Host-basierter Intrusion Detection, die Änderungen an Authentifizierungsbibliotheken erkennt
- Überwachung von SSH-Sitzungen und Environment-Variablen auf Manipulationen
- Einschränkung der Rechte für Änderungen an PAM-Konfigurationen auf vertrauenswürdige Administratoren
- Regelmäßige Systemaudits und forensische Überprüfungen sensibler Server
THN/Stefan Mutschler (freier Journalist)