Forscher von Nextron Systems haben eine bislang unentdeckte Hintertür für Linux-Systeme namens Plague identifiziert. Ausgenutzt wird die Lücke über ein bösartiges PAM (Pluggable Authentication Module) und ermöglicht Angreifern persistenten Zugriff per SSH. Obwohl mehrere Versionen der Lücke auf Virustotal hochgeladen wurden, erkannte Antiviren-Engines den Fehler nicht (siehe Screenshot). Laut Nextron gab es bis heute keine öffentliche Dokumentation von Plaque.
Die
Sicherheitsforscher fanden heraus, dass Plague tief in den Authentifizierungs-Stack eindringt und die Systemauthentifizierung unbemerkt umgeht. Erste Uploads auf Virustotal datieren auf Sommer 2024, und mehrere nachfolgende Varianten weisen auf eine fortlaufende Entwicklung durch die Hintermänner hin.
Plague soll mehrschichtige Verschleierungsverfahren nutzen, die von einfachen XOR-Routinen in frühen Versionen bis zu komplexen PRGA- und DRBG-Algorithmen in aktuellen Releases reichen. Ein von den Forschern entwickeltes Emulationswerkzeug auf Basis von Unicornd und IDA Pro erlaubt die Entschlüsselung der versteckten Strings und Offsets.
Nextron emfpiehlt einen proaktiven Jagdansatz, etwa mit YARA-Regeln und fortschrittlicher Verhaltensanalyse, um solche tief integrierten Module aufzuspüren. Weitere technische Details zu Plaque finden sich im oben verlinkten ausführlichen Blogbeitrag der Cybersecurityfirma.
(dow)
