СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
Вчера в 15:22
#ИБ

PamDOORa: Linux-бэкдор в PAM крадет учетные данные

PamDOORa — это новый обнаруженный Linux backdoor, который внедряется в стек Pluggable Authentication Module (PAM) и позволяет злоумышленникам сохранять постоянный доступ к скомпрометированным серверам, одновременно собирая учетные данные легитимных пользователей.

Инструмент уже появился в продаже на российском форуме киберкриминала и предлагается по сниженной цене — 900 долларов. Такой ценник может указывать либо на падение интереса покупателей, либо на попытку ускорить продажи.

Как работает PamDOORa

По данным отчета, PamDOORa ориентирован на Linux x86_64 и использует стандартные механизмы PAM для скрытой работы в системе. После внедрения бэкдор дает злоумышленникам возможность подключаться удаленно через SSH с помощью так называемого magic password и определенной комбинации TCP port.

Особенность PamDOORa в том, что он перехватывает учетные данные в момент их ввода во время аутентификации. Затем данные шифруются с помощью XOR encryption и сохраняются во временных файлах.

Такое размещение внутри доверенного механизма аутентификации позволяет вредоносному инструменту обходить традиционные средства логирования: учетные данные могут быть перехвачены еще до того, как их зафиксируют легитимные процессы входа в систему.

Попытка скрыть следы

Отдельное внимание в отчете уделено противодействию криминалистическому анализу. PamDOORa манипулирует системными журналами, включая lastlog и wtmp, чтобы замести следы действий злоумышленников и осложнить реагирование на инциденты.

Иными словами, бэкдор не только обеспечивает доступ, но и старается скрыть сам факт компрометации.

Схема внедрения

Типичный сценарий развертывания PamDOORa выглядит следующим образом:

  • злоумышленник сначала получает root-доступ к Linux-серверу, как правило, через более ранний exploit;
  • после этого устанавливается бэкдор, который внедряет вредоносные PAM modules в стек аутентификации;
  • активация происходит при выполнении определенных сетевых условий во время попытки входа в систему.

Такая адаптивность выделяет PamDOORa на фоне стандартных backdoor-инструментов, которые обычно менее гибко реагируют на контекст подключения.

Почему PamDOORa считают профессиональным инструментом

Авторы отчета отмечают, что PamDOORa — это заметный шаг вперед по сравнению с предыдущими открытыми PAM-backdoor. Отдельные методы, которые он использует, хорошо известны: перехват PAM, сбор учетных данных, подделка журналов. Однако именно их слаженная интеграция формирует более устойчивый и универсальный framework.

Именно поэтому PamDOORa классифицируют как инструмент professional grade.

Кто стоит за атакой

Анализ активности, связанной с PamDOORa, указывает на злоумышленника или группу под псевдонимом «darkworm». По оценке исследователей, этот actor демонстрирует более высокий уровень технической подготовки: он понимает внутренние механизмы Linux и использует правдоподобные практики программирования, что отличает его от множества низкоквалифицированных операторов, ограничивающихся массовым сканированием в dark web.

При этом наличие пяти персонажей, связанных с этим псевдонимом, вызывает вопросы: идет ли речь о координации между несколькими злоумышленниками или о разных направлениях их операций.

Что это означает для защитников

Появление backdoor уровня PAM, такого как PamDOORa, существенно осложняет работу специалистов по информационной безопасности. Поскольку инструмент действует в одной из самых доверенных областей операционной системы, обычные меры защиты, ориентированные на процессы пользовательского пространства и binary files приложений, могут оказаться недостаточными.

Это особенно критично на фоне растущей зависимости от Linux-систем, прежде всего в corporate и cloud-средах. Развитие сложных post-exploitation инструментов требует пересмотра стратегий защиты и практик мониторинга критически важных систем аутентификации.

«С ростом зависимости от систем Linux… постоянное развитие сложных инструментов post-exploitation, таких как PamDOORa, требует переоценки стратегий защиты».

По сути, PamDOORa демонстрирует, насколько опасными могут быть атаки, нацеленные не на отдельное приложение, а на сам механизм входа в систему. Именно поэтому защита PAM-цепочки и контроль аномалий на уровне аутентификации становятся для организаций первоочередной задачей.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз (бренд RST Cloud Russia) – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: