Eine neue Backdoor für Linux getauft als PamDOORA wurde von Sicherheitsforschern beschrieben und in Cybercrime-Foren verkauft, was wiederum den Fokus auf einen alten, aber gefährlichen Vektor legt: die PAM-Module. Im Gegensatz zu vielen Konzept-Test-Tools ist PamDOORa ein Post-Exploitation-Kit, das in den Unix / Linux-Authentifizierungs-Stack integriert und dauerhaften SSH-Zugriff durch eine Kombination von "magic passwort" und spezifischem TCP-Port bietet, zusätzlich zu Erfassung von Anmeldeinformationen von legitimen Nutzern, die das kompromittierte System durchlaufen.
Das zentrale Problem ist, dass PAM-Module in der Regel mit Root-Privilegien ausgeführt werden; daher erlaubt eine schädliche Modifikation nicht nur unbefugte Anmeldung, sondern kann klare Anmeldeinformationen stehlen, Authentifizierungsfluss ändern und die Erkennung schwierig machen. PAM ist ein kritisches Stück der Plattform - offizielle Dokumentation und Ressourcen finden Sie in linux-pam.org- und jeder Missbrauch in diesem Raum hat direkte Auswirkungen auf das Vertrauen in das Login-System, einschließlich OpenSSH ( Eröffnet.com)
Die Autoren hinter PamDOORa, die in einem Forum namens Rehub unter dem Alias "darkworm" bekannt gegeben werden, haben einen professionelleren Ansatz als frühere öffentliche Beweise gezeigt: Das Implantat verbindet Haken in PAM, Erfassung von Anmeldeinformationen, falsche Darstellung von Aufzeichnungen und anti-forensischen Funktionen, sowie ein modulares Bausystem zur Erzeugung von Varianten. Diese Verpackung verwandelt bekannte Techniken in ein betriebsbereites Werkzeug für den Einsatz durch Angreifer mit vorherigem Zugriff auf den Host.
Es ist wichtig zu betonen, dass nach der Analyse PamDOORa scheint, root-Privilegien für seine Installation zu benötigen, was ein zweiphasiges Angriffsmuster nahelegt: zuerst einen Aufzug von Privilegien auf andere Weise zu erhalten, und dann das PAM-Modul zur Konsolidierung des Zugangs und zur Sammlung von Geheimnissen einzusetzen. Die Tatsache, dass der Verkäufer den Startpreis von 1.600 auf etwa $900 in wenigen Wochen reduziert hat, kann als Zeichen eines Marktes mit geringer Nachfrage oder der Dringlichkeit zur Monetarisierung interpretiert werden, aber nicht die technische Schwere von der Bedrohung ablenkt.
Aus betrieblicher Sicht die Kombination von Persistenz durch PAM und Bearbeitung von Aufzeichnungen erschwert die forensische Erkennung. Ein SOC, das nur von der lokalen Anmeldung abhängt, kann die verdächtige Aktivität nicht sehen, wenn sie geändert wurden. Darüber hinaus erhöht das Vorhandensein von Anti-Debugging- und Netzwerk-abhängigen Triggern in PamDOORa seine Fähigkeit, latent auf bestimmte Bedingungen zu bleiben und die Exposition gegenüber der Analyse zu reduzieren.
Defensive Maßnahmen sollten Vorrang einräumen, um das Einführen von nicht autorisierten Modulen und die frühzeitige Erkennung von PAM-Oberflächenänderungen zu verhindern. Es ist angezeigt, sofort Verzeichnisse und Dateien, die PAM-Module hosten, Systempaketsummen und Signaturen überprüfen und Dateiintegritätskontrolle mit Werkzeugen wie AIDE oder dergleichen anwenden. Es ist auch kritisch zu begrenzen, wer in / lib / sicherheit, / lib64 / sicherheit und / etc / pam.d schreiben kann, und überprüfen Sie jede legitime Verwendung von pam _ exec, die missbraucht werden kann, um beliebigen Code während der Authentifizierung auszuführen.
Parallel reduziert der OpenSSH-Härter die Wirksamkeit dieser Art von Backdoors: Deaktivieren Sie die Passwort-Authentifizierung, bevorzugen Sie Schlüssel und Zertifikate, erfordern PAM-integrierte Multifaktor-Authentifizierung (MFA) und überwachen Sie Versuche, mit nicht-Standard-Ports oder anormalen Sitzungsmustern zu verbinden. Bei Notfall-Reaktionsteams gehen davon aus, dass das Vorhandensein eines verdächtigen PAM-Moduls systemisches Engagement beinhaltet und eine vollständige Isolation durchführt, Reimages von Hosts und Rotation von Anmeldeinformationen der sicherste Weg ist.
Die Erkennung erfordert auch eine Off-Host-Sichtbarkeit: Korrelation von Authentifizierungsereignissen mit Netzwerkrekorden und zentralen Protokollsystemen, Verwendung von EDR mit der Möglichkeit, ungewöhnliche Speicherlasten und Kernelrufe zu erkennen und Konfigurationsanalysetools zur Erkennung von Änderungen in PAM-Dateien zu verwenden. Für Organisationen, die sensible Daten verarbeiten, unter Berücksichtigung der Integrität der Lieferkette von Paketen und reproduzierbaren Signaturen reduziert die Wahrscheinlichkeit, dass ein Angreifer ein schädliches Modul platzieren, ohne erkannt zu werden.
Über die technische Antwort hinaus erinnert dieser Vorfall daran, dass selbst "reife" Komponenten wie PAM bei der Behandlung mit administrativer Laxität kritische Vektoren werden können. Die Sicherheitsgemeinschaft sollte weiterhin Engagement-Indikatoren dokumentieren und teilen, während Manager mit dem Prinzip der Mindestberechtigung arbeiten sollten, Netzwerksegmentierung anwenden und Root-Zugang und Änderungen in Authentifizierungseinstellungen mit Priorität überprüfen.
Um die mit PAM-Modulen und früheren Missbrauchsbeispielen verbundenen Risiken zu vertiefen, stehen die Fachliteratur und Fachblogs sowie die offiziellen Dokumentations-Repositories von PAM und OpenSSH zur Verfügung. Geräte, die authentifizierte Anomalien oder neu installierte Module erkennen, sollten ihr Antwortprotokoll aktivieren, Beweise bewahren und mit Sicherheitsanbietern für Eindämmung und Vermittlung koordinieren.
18-jährige ukrainische Jugend führt ein Netzwerk von Infostealern, die 28,000 Konten verletzt und $250.000 Verluste hinterlassen
Die ukrainischen Behörden, in Abstimmung mit US-Agenten. Sie haben sich auf eine Operation konzentriert Infostealer die laut der ukrainischen Cyber Police von Odessa angeblich v...
RAMPART und Clarity neu definieren die Sicherheit von IA-Agenten mit reproduzierbaren Tests und Governance von Anfang an
Microsoft hat zwei Open Source-Tools, RAMPART und Clarity vorgestellt, die darauf abzielen, die Sicherheit der IA-Agenten zu ändern: eine, die technische Tests automatisiert und...
Die digitale Signatur ist im Check: Microsoft befehligt einen Dienst, der Malware in scheinbar legitime Software verwandelt
Microsoft kündigte die Desartikulation einer "Malware-signing-as-a-Service" Operation, die sein Gerät Signatur-System ausgenutzt, um schädlichen Code in scheinbar legitime binär...
Ein einziger GitHub-Workflow-Token öffnete die Tür zur Software-Lieferkette
Ein einziger GitHub-Workflow-Token scheiterte in der Rotation und öffnete die Tür. Dies ist die zentrale Schlussfolgerung des Vorfalls in Grafana Labs nach der jüngsten Welle vo...
WebWorm 2025: die Malware, die in Discord und Microsoft Graphh versteckt ist, um die Erkennung zu umgehen
Die neuesten Beobachtungen von Cyber-Sicherheitsforschern weisen auf eine Veränderung der besorgniserregenden Taktik eines Schauspielers hin, der mit China verbunden ist. WebWor...
Identität ist nicht mehr genug: kontinuierliche Überprüfung des Gerätes für Echtzeitsicherheit
Identität bleibt das Rückgrat vieler Sicherheitsarchitekturen, aber heute knackt diese Spalte unter neuen Drücken: fortgeschrittene Phishing, Echtzeit-Proxy-Authentifizierungski...
Die dunkle Identitätsfrage verändert die Regeln der Unternehmenssicherheit
Der Identity Gap: Snapshot 2026 Bericht veröffentlicht von Orchid Security legt Zahlen auf einen gefährlichen Trend: die "dunkle Materie" der Identität - Konten und Anmeldeinfor...