리눅스용 새로운 백도어인 PamDOORa가 발견되었으며, SSH가 노출된 시스템에 실질적인 위협이 되고 있습니다. 이 악성코드는 핵심 인증 시스템인 PAM 모듈을 통해 작동하며, 사용자가 로그인할 때 비밀번호를 가로챕니다. 탈취된 자격 증명은 공격자가 제어하는 C&C 서버로 전송됩니다.
PamDOORa가 인증 프로세스에 통합되는 방식 🛡️
PamDOORa는 PAM 모듈 체인, 특히 SSH 인증 스택에 주입됩니다. 합법적인 모듈로 로드되어 로그인 확인 중에 사용자 이름과 비밀번호를 일반 텍스트로 캡처합니다. 데이터는 임시 파일에 저장되고 HTTP 요청을 통해 원격 도메인으로 유출됩니다. 지속성은 common-auth와 같은 PAM 구성 파일을 수정하여 달성되며, 일상적인 감사에서 즉각적인 의심을 일으키지 않습니다.
비밀번호 파티에 잠입한 백도어 🎭
PamDOORa는 보안을 자랑하는 운영 체제인 리눅스조차 인증 만찬에 원치 않는 손님이 있을 수 있음을 보여줍니다. 사용자가 자신의 SSH가 요새라고 믿는 동안, 이 백도어는 냅킨에 비밀번호를 적어 술집 주인에게 건네주는 웨이터 역할을 합니다. 물론 공격자들은 커널 소스 코드를 더럽히지 않고 시스템의 공식 뒷문인 PAM을 사용하는 예의는 갖췄습니다.