Entdeckung und Hintergrund
Anfang August 2025 haben Forscher von Nextron Systems eine bislang unentdeckte Linux-Malware namens Plague vorgestellt. Die bösartige Komponente tarnt sich als PAM-Modul (Pluggable Authentication Module) und ist bereits seit Juli 2024 im Umlauf, ohne von klassischen AV-Lösungen erkannt zu werden.
Technische Funktionsweise
Plague integriert sich tief in den Authentifizierungs-Stack von Linux und ersetzt bei jeder Login-Anfrage – etwa über SSH oder sudo – die reguläre Passwortprüfung durch hartkodierte Zugangsdaten. Dank dieser nahtlosen Einbindung entsteht kein auffälliger Loader-Prozess, und das Modul überdauert selbst System-Updates.
Tarn- und Umgebungsmanipulation
Um jegliche Spuren zu verwischen, nutzt Plague mehrschichtige Obfuskation, Anti-Debugging-Funktionen und Umgebungs-Tampering. Konkret unsetzt es Umgebungsvariablen wie SSH_CONNECTION und SSH_CLIENT und leitet die Shell-History per HISTFILE auf /dev/null, sodass weder Login-Metadaten noch Kommandos protokolliert werden.
Verbreitung und Varianten
Seit Juli 2024 sind mehrere Varianten von Plague auf Plattformen wie VirusTotal aufgetaucht, jedoch ohne dass ein einziger Virenscanner anschlug. Die Kompilierungs-Artefakte belegen aktive Entwicklung über diverse GCC-Versionen und Linux-Distributionen wie Debian und Ubuntu.
Erkennung und Abwehr
Da signaturbasierte Scanner versagen, empfehlen Experten verhaltensbasierte Verfahren und Integritätsprüfungen. Systemadministratoren sollten regelmäßig Hashwerte der PAM-Module im Verzeichnis /lib/security/ kontrollieren, die Dateien in /etc/pam.d/ auf unautorisierte Änderungen prüfen und ungewöhnliche SSH-Verbindungen überwachen.
Ausblick
Plague demonstriert, wie Angreifer Kernkomponenten des Betriebssystems kompromittieren, um langfristig unentdeckt zu bleiben. Neben Host-Based Intrusion Detection (HIDS) und automatisiertem Log-Monitoring wird künftig eine striktere Kontrolle von PAM-Konfigurationen unerlässlich sein, um solche Bedrohungen frühzeitig zu erkennen und zu neutralisieren.
Quellen
- BleepingComputer: New Plague Linux malware stealthily maintains SSH access
- Nextron Systems: Plague – A Newly Discovered PAM-Based Backdoor for Linux
- The Hacker News: New ‘Plague’ PAM Backdoor Exposes Critical Linux Systems to Silent Credential Theft
- SC Media: New Plague backdoor sets sights on Linux systems
- CyberInsider: New “Plague” Backdoor for Linux Hijacks SSH Using Malicious PAM Module
About the Author
