Ein neuer Linux-Backdoor namens PamDOORa wurde entdeckt und stellt eine echte Bedrohung für Systeme mit exponiertem SSH dar. Diese Schadsoftware operiert über PAM-Module, das Authentifizierungssystem des Kerns, und fängt Passwörter ab, wenn Benutzer sich anmelden. Die erbeuteten Anmeldeinformationen werden an einen von Angreifern kontrollierten C&C-Server gesendet.
Wie PamDOORa in den Authentifizierungsprozess integriert wird 🛡️
PamDOORa injiziert sich in die Kette der PAM-Module, speziell in den SSH-Authentifizierungsstapel. Indem es als legitimes Modul geladen wird, erfasst es während der Anmeldeüberprüfung den Benutzernamen und das Passwort im Klartext. Die Daten werden in einer temporären Datei gespeichert und über HTTP-Anfragen an eine entfernte Domain exfiltriert. Seine Persistenz erreicht es durch die Modifikation von PAM-Konfigurationsdateien wie common-auth, ohne bei routinemäßigen Audits sofortigen Verdacht zu erregen.
Der Backdoor, der sich auf die Passwort-Party geschlichen hat 🎭
PamDOORa zeigt, dass selbst Linux, das Betriebssystem derer, die mit Sicherheit prahlen, seinen eigenen ungebetenen Gast beim Authentifizierungs-Dinner haben kann. Während die Benutzer glauben, ihr SSH sei eine Festung, agiert dieser Backdoor wie ein Kellner, der die Passwörter auf eine Serviette notiert und sie dem Barbesitzer weitergibt. Allerdings hatten die Angreifer immerhin die Höflichkeit, PAM zu verwenden, die offizielle Hintertür des Systems, ohne den Quellcode des Kernels zu verschmutzen.