СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
12.05.2025
#ИБ#Инфра

Угрозы безопасности: модификации PAM приводят к краже данных

Угрозы безопасности: модификации PAM приводят к краже данных

Источник: www.group-ib.com

Сбор учетных данных с помощью подключаемых модулей аутентификации (PAM) представляет собой серьезную угрозу безопасности, особенно в системах Linux и Solaris. Данный метод позволяет злоумышленникам модифицировать модули PAM для перехвата учетных данных аутентификации, которые затем могут быть переданы на сервер управления (C2) или получены злоумышленником вручную.

Уязвимости PAM и использование хакерами

Дизайн PAM, который отделяет логику аутентификации от приложений, обеспечивает использование централизованного метода аутентификации такими сервисами, как login и sshd. Это делает PAM привлекательной мишенью для хакеров, стремящихся использовать его модульную природу. Так, были замечены известные хакерские группы, такие как UNC1945, использующие бэкдоры в PAM на серверах Solaris для кражи учетных данных, что облегчает перемещение в скомпрометированных средах.

Методы атак

Группа UNC2891 также широко использует бэкдоры на основе PAM, модифицируя модуль pam_unix.so для записи учетных данных в скрытые файлы. Эта манипуляция приводит к замене легитимной версии pam_unix.so на скомпрометированную, записывающую все успешные входы в систему.

  • Перехват учетных данных без обнаружения.
  • Повышение возможностей перемещения злоумышленников в скомпрометированных системах.

Рекомендации для повышения безопасности

Хотя эти атаки в значительной степени затрагивают Solaris, ядро Linux также находится под угрозой. Чтобы снизить риски, связанные с получением учетных данных PAM, настоятельно рекомендуется перейти на аутентификацию на основе ключей. Это изменение устраняет необходимость в паролях во время процесса аутентификации, что делает сбор учетных данных на основе PAM неэффективным.

Кроме того, благодаря исключению этапа обмена учетными данными система становится более устойчивой к несанкционированному доступу и более широким последствиям кражи учетных данных.

Поскольку ситуация с угрозами продолжает развиваться, для организаций важно принимать надежные меры безопасности против таких сложных методов атаки.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: