Linux向けの新しいバックドア「PamDOORa」が発見され、SSHが公開されているシステムにとって現実的な脅威となっています。このマルウェアは、カーネルの認証システムであるPAMモジュールを介して動作し、ユーザーがログインする際にパスワードを傍受します。取得された認証情報は、攻撃者が制御するC&Cサーバーに送信されます。
PamDOORaが認証プロセスにどのように組み込まれるか 🛡️
PamDOORaはPAMモジュールチェーン、特にSSH認証スタックに注入されます。正当なモジュールとして読み込まれることで、ログイン確認中にユーザー名と平文のパスワードを取得します。データは一時ファイルに保存され、リモートドメインへのHTTPリクエストを通じて外部に送信されます。持続性は、common-authなどのPAM設定ファイルを改変することで達成され、定期的な監査ではすぐに疑念を抱かせることはありません。
パスワードパーティーに忍び込んだバックドア 🎭
PamDOORaは、セキュリティを誇るOSであるLinuxでさえ、認証の晩餐会に招かれざる客が現れる可能性があることを示しています。ユーザーが自身のSSHを要塞だと思い込んでいる間、このバックドアはパスワードをナプキンに書き留めてバーのオーナーに渡すウェイターのように振る舞います。とはいえ、少なくとも攻撃者は、カーネルのソースコードを汚すことなく、システムの公式な裏口であるPAMを利用するという礼儀はわきまえているようです。