PamDOORa 后门通过 Linux PAM 模块窃取 SSH 凭证

执行摘要

一种名为PamDOORa的新Linux后门正在俄语网络犯罪论坛Rehub上以1600美元的价格出售，出售者使用的化名是“darkworm”。根据披露这一发现的网络安全公司研究人员的说法，PamDOORa作为一个基于可插拔认证模块（PAM）的后开发工具包运行，它拦截SSH认证以窃取凭证。该后门通过一个硬编码的“神奇密码”结合特定的TCP端口授予持续的远程访问权限，绕过正常认证。恶意软件旨在通过融入PAM堆栈来逃避检测，PAM堆栈是Linux认证的一个关键组件。

技术分析

PamDOORa被实现为一个恶意的PAM模块，它钩入标准的Linux认证流程。当用户尝试通过SSH进行认证时，后门会在将它们传递给合法的PAM堆栈进行验证之前捕获明文凭证。被盗的凭证被记录在一个只有攻击者才能访问的隐藏文件中。

后门还提供了一个后门访问机制：如果SSH连接尝试使用神奇密码并从特定源端口连接，PamDOORa将立即授予root级别的访问权限，而无需与系统的密码数据库进行验证。这种双重功能——凭证盗窃和持续的未经授权的访问——使得它对被入侵的Linux服务器特别危险。

研究人员指出，PamDOORa作为一个完整的软件包出售，包括一个构建工具，允许购买者自定义神奇密码、触发端口和凭证日志位置。恶意软件被编译为一个共享对象库（.so文件），必须加载到PAM配置中，通常通过修改/etc/pam.d/文件。威胁行为者声称后门在包括Ubuntu、Debian、CentOS和RHEL在内的主要Linux发行版上都能工作。

归因于Rehub论坛和卖家“darkworm”是基于研究人员分析的论坛列表。卖家的身份和运营安全姿态尚未得到确认。恶意软件的代码质量和功能集表明是一个中等技能的开发者，尽管尚未建立与已知APT组织的联系。

战术、技术与程序

PamDOORa采用了凭证访问技术（T1649），通过在PAM层拦截认证数据，这是一个受信任的系统组件。为了持久性（T1547），它依赖于PAM配置被修改以在启动时加载恶意模块。后门还使用防御规避（T1014），通过在认证堆栈内作为一个类似rootkit的组件运行，使得它难以被标准文件系统扫描器检测。神奇密码机制是一个硬编码凭证后门（T1556.001）的变体。

缓解措施与建议

防御者应监控PAM配置文件的未经授权修改，特别是在/etc/pam.d/目录中。文件完整性监控（FIM）工具可以在pam.conf或单个服务文件发生变化时发出警报。在/lib/security/或/usr/lib/security/中任何意外的.so文件都应进行调查。此外，启用基于SSH密钥的认证并禁用基于密码的SSH访问可以减少凭证盗窃的攻击面。组织还应审计SSH登录尝试，以寻找不寻常的源端口或重复的认证失败，这可能表明神奇密码探测。使用像pam_tally2或authconfig这样的工具定期扫描未知的PAM模块可以帮助检测未经授权的修改。