Groups | Search | Server Info | Login | Register

Groups > cn.comp.hacker > #8799

[F] 新型Linux后门PamDOORa利用PAM模块窃取SSH凭证

Cross-posted to 2 groups.

Show all headers | View raw

网络安全研究人员披露了一款名为PamDOORa的新型Linux后门细节。该后门由名为"darkworm"的威胁分子在俄罗斯网络犯罪论坛Rehub上以600美元的价格兜售。
这款后门被设计为基于可插拔认证模块（PAM）的漏洞利用后工具包，可通过特定魔法密码与TCP端口组合实现SSH持久访问，还能从所有通过受感染系统认证的合法用户处窃取凭证。
Flare.io研究员Assaf Morag在技术报告中指出："PamDOORa是一款新型PAM后门，作为漏洞利用后工具使用，支持通过OpenSSH进行服务器认证。据称可在Linux系统（x86_64架构）上保持持久性。"
PamDOORa是继Plague之后第二款针对PAM框架的Linux后门。PAM作为Unix/Linux操作系统中的安全框架，允许系统管理员通过可插拔模块集成多种认证机制（如从密码切换至生物识别），而无需重写现有应用。
PAM模块的安全隐患
由于PAM模块通常以root权限运行，被入侵、配置错误或恶意的模块会带来重大安全风险，为凭证窃取和未授权访问打开大门。
Group-IB在2024年9月指出："尽管可插拔认证模块（PAM）具有优势，但其模块化特性也带来风险。对PAM模块的恶意修改可能创建后门或窃取用户凭证，特别是考虑到PAM不存储密码而是以明文传输数据。"
"允许执行外部命令的pam_exec模块可能被攻击者利用，通过向PAM配置文件注入恶意脚本获取未授权访问或建立持久控制。"
这家新加坡安全厂商还详细说明了如何操纵SSH认证的PAM配置，通过pam_exec执行脚本，使攻击者能获取主机特权shell并实现隐蔽持久化。
反取证与商业化特征
Flare.io最新研究显示，PamDOORa除窃取凭证外，还具备反取证能力，可系统性篡改认证日志以消除恶意活动痕迹。
尽管尚无证据表明该恶意软件已被用于实际攻击，但传播链可能涉及攻击者先通过其他方式获取主机root权限，再部署PamDOORa的PAM模块捕获凭证并建立SSH持久访问。
"darkworm"在2026年3月17日最初标价600美元，至4月9日已降价近50%至900美元，表明买方兴趣不足或急于出售。
Morag解释道："PamDOORa代表着对现有开源PAM后门的进化。虽然单个技术（PAM钩子、凭证捕获、日志篡改）已有成熟方案，但将其集成至具有反调试、网络感知触发器和构建管道的模块化植入体，使其更接近运营商级工具，而非公开代码库中粗糙的PoC脚本。"
参考来源：
New Linux PamDOORa Backdoor Uses PAM Modules to Steal SSH Credentials

[0] New Linux PamDOORa Backdoor Uses PAM Modules to Steal SSH Credentials: https://thehackernews.com/2026/05/new-linux-pamdoora-backdoor-uses-pam.html


https://www.freebuf.com/articles/system/480348.html

Fri, 08 May 2026 14:11:00 +0800

--
Mobot

If you have any comments on this article, feel free to follow up. However, for feedback on the bot, please post to the cn.fan newsgroup.
BTC donation: bc1qkatj3eghdt7n28hnyv5tmd9lsdvpz94lrf5f4w

Back to cn.comp.hacker | Previous | Next | Find similar

Thread

[F] 新型Linux后门PamDOORa利用PAM模块窃取SSH凭证 Mobot <mobot@fakemail.com> - 2026-05-11 17:44 +0000

csiph-web