Новый бэкдор для Linux, получивший название PamDOORa, был обнаружен и представляет реальную угрозу для систем с открытым SSH-доступом. Это вредоносное ПО действует через модули PAM, систему аутентификации ядра, перехватывая пароли при входе пользователей в систему. Перехваченные учетные данные отправляются на C&C-сервер, контролируемый злоумышленниками.
Как PamDOORa встраивается в процесс аутентификации 🛡️
PamDOORa внедряется в цепочку модулей PAM, а именно в стек аутентификации SSH. Загружаясь как легитимный модуль, он перехватывает имя пользователя и пароль в открытом виде во время проверки входа. Данные сохраняются во временном файле и exfiltriруются через HTTP-запросы на удаленный домен. Его устойчивость достигается путем изменения конфигурационных файлов PAM, таких как common-auth, не вызывая немедленных подозрений при плановых аудитах.
Бэкдор, проникший на вечеринку паролей 🎭
PamDOORa демонстрирует, что даже Linux, операционная система для тех, кто хвастается безопасностью, может иметь своего незваного гостя на ужине аутентификации. Пока пользователи считают свой SSH крепостью, этот бэкдор действует как официант, записывающий пароли на салфетке и передающий их владельцу бара. Правда, по крайней мере злоумышленники проявили вежливость, использовав PAM, официальный черный ход системы, не загрязняя исходный код ядра.