一种名为PamDOORa的新型后门已成为Linux系统面临的严重且日益增长的威胁,它瞄准操作系统最受信任的组件之一,悄无声息地窃取SSH凭据。
该恶意软件在俄语网络犯罪论坛Rehub上挂牌出售,其完整源代码初始标价1600美元,随后卖家将价格降至900美元。这一突然降价引起了研究人员的警觉,暗示要么买家兴趣有限,要么故意急于脱手该工具。
PamDOORa的工作原理是劫持Linux系统用于处理用户登录和身份验证的可插拔认证模块(PAM)框架。
与将自身植为可见运行进程的传统恶意软件不同,该后门直接将恶意模块注入到认证层,在认证层静默等待登录尝试,并在凭据被记录之前将其截获。这使得它尤为危险,因为攻击发生在大多数监控工具不会严密监控的层面。
Group-IB的研究人员识别出了该后门所使用的技术,并指出它利用了pam_exec——一个旨在认证事件期间运行外部命令的标准PAM模块。
Group-IB数字取证与事件响应(DFIR)团队发现,这种特定的滥用方法尚未被纳入MITRE ATT&CK框架,使其成为一种新颖的技术,许多安全团队可能并未针对其进行主动防御。
PamDOORa在Linux系统上的运作方式
PamDOORa背后的威胁行为者在Rehub论坛上以别名“darkworm”活动,并展现出对Linux内部机制的显著技术知识。对广告中分享的代码片段的分析显示,其技术真实可信,且与已知的PAM利用方法一致。与在低级论坛上使用同一别名的其他个人相比,该卖家被认为技术能力更强、行事更认真。
PamDOORa尤其令人担忧的不仅是它的功能,还有它的隐蔽深度。该后门被构建为能够篡改认证日志文件,包括lastlog、btmp、utmp和wtmp,抹除攻击者连接服务器的任何痕迹。这意味着,被召集调查入侵事件的应急响应团队,可能在他们通过SSH连接受陷机器的那一刻,自己的凭据就已不知不觉地被窃取。
PamDOORa被设计为一款后渗透工具,这意味着攻击者在部署它之前必须已经获得root访问权限。一旦安装,该后门会注入一个恶意PAM模块,生成一个名为pam_linux.so的文件,该文件与合法系统模块一同加载到认证栈中。
这种设计使其能够融入正常系统文件,而非替换它们,从而使检测难度大大增加。
该后门通过特定TCP端口与只有攻击者知晓的秘密“魔术密码”相结合,授予持久的SSH访问权限。一个特殊的例程会扫描开放连接,并应用条件逻辑来识别攻击者何时连接,从而在普通用户毫无察觉的情况下授予静默访问权限。
合法用户在登录时提交的凭据在PAM栈内被拦截,使用运行时生成的密钥进行异或(XOR)加密,并写入/tmp目录,生成的文件名和时间戳均为随机。
反取证与检测的挑战
使PamDOORa区别于简单后门的是其内置的反取证能力。该工具会主动从系统日志中抹除攻击者登录痕迹,只留下调查人员可能会视为噪声的失败登录记录。
由于凭据窃取发生在PAM层内部,应用层日志工具永远无法捕获到被盗数据,而聚焦于用户空间进程的检测方法也将完全将其遗漏。
安全团队被告诫,应将任何受陷的Linux服务器视为凭据已完全暴露,无论入侵范围看起来多么有限。
研究人员建议启用SELinux和AppArmor以实现更强的进程隔离,安装Auditd并配置DISA-STIG推荐规则以监控对系统文件的更改,以及部署rkhunter来检测rootkit和未经授权的软件。禁用通过SSH的root登录、锁定root账户以及将sudo访问权限限制在授权用户,是减少PamDOORa所依赖的攻击面的关键步骤。
失陷指标(IoCs)
根据原始资料披露的信息,在SSH认证期间所执行的恶意脚本中识别出以下指标:
| | |
|---|
| | |
| | 在SSH认证尝试期间通过pam_exec执行的脚本 |
| | |
| | netcat(nc)用于外传窃取凭据数据的远程端口 |
| | |
| | |