Ein neuer Backdoor für Linux, getauft auf den Namen PamDOORa, wurde entdeckt und stellt eine echte Bedrohung für Systeme mit exponiertem SSH dar. Diese Schadsoftware operiert mittels PAM-Modulen, dem Authentifizierungssystem des Kerns, und fängt Passwörter ab, wenn Benutzer sich anmelden. Die erbeuteten Anmeldedaten werden an einen von Angreifern kontrollierten C&C-Server gesendet.
Wie PamDOORa in den Authentifizierungsprozess integriert wird 🛡️
PamDOORa injiziert sich in die Kette der PAM-Module, speziell in den Authentifizierungsstapel von SSH. Indem es als legitimes Modul geladen wird, erfasst es den Benutzernamen und das Passwort im Klartext während der Eingabeüberprüfung. Die Daten werden in einer temporären Datei gespeichert und mittels HTTP-Anfragen an eine entfernte Domain exfiltriert. Seine Persistenz wird durch die Modifikation von PAM-Konfigurationsdateien wie common-auth erreicht, ohne bei routinemäßigen Audits sofortigen Verdacht zu erregen.
Der Backdoor, der sich auf die Passwortparty geschlichen hat 🎭
PamDOORa zeigt, dass selbst Linux, das Betriebssystem derer, die mit ihrer Sicherheit prahlen, seinen eigenen ungebetenen Gast beim Authentifizierungsessen haben kann. Während die Benutzer glauben, ihr SSH sei eine Festung, agiert dieser Backdoor wie ein Kellner, der die Passwörter auf eine Serviette notiert und sie dem Barbesitzer weitergibt. Allerdings hatten die Angreifer zumindest die Höflichkeit, PAM zu verwenden, die offizielle Hintertür des Systems, ohne den Quellcode des Kernels zu verschmutzen.