Thought Leadership
Die Linux-Malware QLNX greift gezielt Entwickler an. Mit Rootkit-Funktionen und PAM-Backdoors gefährdet sie AWS, GitHub und Docker.
Die Sicherheitsforscher des Unternehmens Trend Micro haben Details über eine bisher undokumentierte Linux-Malware namens Quasar Linux (QLNX) veröffentlicht. Das Schadprogramm ist speziell darauf ausgerichtet, Softwareentwickler und DevOps-Umgebungen zu infiltrieren. Durch den Zugriff auf Systeme, die mit Plattformen wie npm, PyPI, GitHub, AWS, Docker und Kubernetes verknüpft sind, ermöglicht die Malware weitreichende Supply-Chain-Angriffe. Angreifer können so schädliche Pakete direkt auf Code-Distributionsplattformen veröffentlichen und Unternehmenssicherheitskontrollen umgehen.
Infiltration von DevOps-Workstations durch QLNX
Die Infektionskette von QLNX beginnt meist in Umgebungen, die für die Softwarebereitstellung kritisch sind. Sobald die Malware ein System infiziert hat, nutzt sie lokale Ressourcen auf ungewöhnliche Weise: Sie verwendet die GNU Compiler Collection (gcc), um Rootkit-Shared-Objects und PAM-Backdoor-Module direkt auf dem Zielhost dynamisch zu kompilieren. Dieser Ansatz stellt sicher, dass die bösartigen Komponenten optimal an die jeweilige Kernel-Version und Systemarchitektur des Opfers angepasst sind.
Der Fokus auf Entwickler-Workstations ist strategischer Natur. Diese Rechner verfügen oft über weitreichende Berechtigungen für Cloud-Infrastrukturen und Code-Repositories. Durch die Kompromittierung eines einzelnen Entwicklers erhalten die Hintermänner Zugriff auf die Anmeldedaten, die das Fundament moderner Software-Lieferketten bilden. Dies spiegelt aktuelle Trends bei Supply-Chain-Vorfällen wider, bei denen gestohlene Identitäten genutzt wurden, um trojanisierte Updates an Millionen von Endnutzern zu verteilen.
Tarnung durch In-Memory-Ausführung und Log-Bereinigung
QLNX zeichnet sich durch ein hohes Maß an Stealth-Fähigkeiten aus. Nach der initialen Ausführung lädt sich das Programm vollständig in den Arbeitsspeicher und löscht die ursprüngliche Binärdatei von der Festplatte. Um forensische Analysen zu erschweren, bereinigt die Malware aktiv Systemprotokolle und manipuliert Prozessnamen (Process Spoofing), damit sie in Systemmonitoren wie top oder ps als legitime Dienste erscheinen. Zudem werden forensisch relevante Umgebungsvariablen gezielt gelöscht.
Die Malware agiert weitestgehend dateilos, was herkömmliche signaturbasierte Antivirensoftware vor große Herausforderungen stellt. Zum Zeitpunkt der Veröffentlichung des Forschungsberichts wurde der QLNX-Implantat von lediglich vier Sicherheitslösungen als bösartig erkannt. Die Kombination aus In-Memory-Operationen und der Manipulation von System-Metadaten macht die Detektion für herkömmliche Endpoint-Detection-and-Response-Systeme (EDR) extrem schwierig.
Siebenfache Persistenz und dynamische Rootkit-Kompilierung
Um sicherzustellen, dass die Malware auch nach einem Systemneustart aktiv bleibt, implementiert QLNX sieben verschiedene Persistenzmechanismen. Dazu gehören klassische Methoden wie crontab, init.d-Skripte und systemd-Units, aber auch subtilere Techniken wie die Injektion in .bashrc-Dateien, XDG-Autostart-Einträge und die Nutzung der Umgebungsvariable LD_PRELOAD. Letztere sorgt dafür, dass die Malware in jeden dynamisch verlinkten Prozess geladen wird.
Besonders komplex ist die Rootkit-Architektur. QLNX kombiniert ein Userland-Rootkit auf Basis von LD_PRELOAD mit einer Kernel-Ebene-Komponente unter Verwendung von eBPF (extended Berkeley Packet Filter). Während die Userland-Ebene libc-Funktionen abfängt, um Dateien und Prozesse vor dem Nutzer zu verbergen, agiert die eBPF-Komponente auf der Kernelebene, um Prozess-IDs (PIDs), Dateipfade und Netzwerk-Ports direkt in der Systemsteuerung zu verschleiern. Diese duale Strategie macht die Malware auf mehreren Systemebenen unsichtbar.
Modularer Aufbau: Von eBPF-Stealth bis zum Passwort-Diebstahl
Das QLNX-Toolkit ist modular aufgebaut und umfasst spezialisierte Blöcke für verschiedene bösartige Aktivitäten:
- RAT-Kern: Eine zentrale Steuerungseinheit mit einem Framework aus 58 Befehlen. Sie ermöglicht interaktiven Shell-Zugriff, Dateiverwaltung und Netzwerkoperationen über verschlüsselte Kanäle (TCP/TLS oder HTTP/S).
- Credential Access Layer: Dieses Modul erntet SSH-Schlüssel, Browserdaten sowie Cloud- und Entwicklerkonfigurationen. Zudem wird die Datei
/etc/shadowausgelesen und die Zwischenablage überwacht. Ein PAM-basierter Backdoor-Mechanismus fängt Authentifizierungsdaten im Klartext ab. - Überwachungsmodul: Ermöglicht Keylogging, das Erstellen von Screenshots und die Überwachung der Zwischenablage in Echtzeit.
- Netzwerk & Lateral Movement: Unterstützt TCP-Tunneling, SOCKS-Proxys, Port-Scanning und SSH-basierte Ausbreitung im Netzwerk. Sogar ein Peer-to-Peer-Mesh-Netzwerk kann zwischen infizierten Hosts aufgebaut werden.
- Injektions-Engine: Erlaubt die Injektion von Prozessen via
ptraceoder/proc/pid/memsowie die in-memory Ausführung von Payloads (Shared Objects, BOF/COFF).
Supply-Chain-Risiken der Linux-Malware
Die größte Gefahr geht von der Fähigkeit der Malware aus, Anmeldedaten im Klartext abzugreifen. Durch die Manipulation der Pluggable Authentication Modules (PAM) kann QLNX Passwörter direkt beim Login-Vorgang abfangen. In Verbindung mit den gestohlenen SSH-Keys und Cloud-Konfigurationen (wie AWS-Schlüsseln) sind die Angreifer in der Lage, sich lateral durch die gesamte Infrastruktur eines Unternehmens zu bewegen.
Trend Micro hat bisher keine spezifischen Opfer benannt oder die Malware einer bekannten Bedrohungsgruppe (Attribution) zugewiesen. Es bleibt unklar, in welchem Volumen QLNX derzeit verbreitet wird. Aufgrund der hohen Spezialisierung auf DevOps-Tools wie Docker und Kubernetes ist jedoch davon auszugehen, dass die Malware in gezielten Kampagnen gegen Technologieunternehmen und Softwarehäuser eingesetzt wird. Verteidiger werden dazu aufgerufen, die von Trend Micro bereitgestellten Indicators of Compromise (IoCs) zu nutzen, um ihre Systeme auf Anzeichen einer QLNX-Infektion zu prüfen.
