Реклама, АО «Позитив Текнолоджиз», ИНН 7718668887, 18+
Image

Практикум "Управление уязвимостями: от теории к практике"

Полный цикл выстраивания процесса управления уязвимостями
Успей записаться

Пароль сменили, а хакер всё равно зашёл. Встречайте PamDOORa — вирус, от которого почти невозможно защититься

leer en español

8219
Rehub PamDOORa darkworm Flare Linux
Пароль сменили, а хакер всё равно зашёл. Встречайте PamDOORa — вирус, от которого почти невозможно защититься
Rehub PamDOORa darkworm Flare Linux

Хакеры научились использовать систему аутентификации Linux против её же владельцев.

image

На хакерском форуме Rehub начали продавать новый вредоносный инструмент для Linux под названием PamDOORa. Автор разработки, скрывающийся под именем darkworm, сначала просил за программу $1600, но спустя несколько недель снизил цену почти вдвое – до $900. Судя по снижению стоимости, покупателей оказалось меньше, чем ожидалось.

PamDOORa представляет собой скрытый модуль для системы аутентификации Linux. После заражения сервер начинает принимать специальный «магический» пароль и определённую комбинацию сетевого порта, позволяя злоумышленнику незаметно подключаться по SSH даже после смены обычных учётных данных. Одновременно вредоносная программа собирает логины и пароли всех пользователей, входящих в систему.

Специалисты Flare.io называют PamDOORa полноценным инструментом для закрепления в уже взломанной инфраструктуре. Вредонос использует механизм PAM – подключаемую систему аутентификации Unix и Linux. PAM позволяет администраторам менять способы входа в систему без переписывания программ, например переходить с паролей на биометрию. Из-за глубокой интеграции PAM-модули работают с правами root, поэтому вредоносный компонент получает практически полный контроль над системой.

PamDOORa стал вторым известным вредоносом для PAM после Plague. Подобные инструменты особенно опасны тем, что PAM передаёт пароли в открытом виде между модулями аутентификации. Злоумышленники могут перехватывать учётные данные, внедрять собственные сценарии и сохранять доступ к серверу месяцами.

Помимо кражи паролей, PamDOORa умеет скрывать следы присутствия. Вредонос изменяет журналы аутентификации и удаляет записи о подозрительных входах. Такой подход серьёзно затрудняет расследование инцидентов и поиск источника компрометации.

Пока специалисты не обнаружили атак с использованием PamDOORa, однако схема заражения выглядит достаточно простой. Сначала злоумышленник получает root-доступ к серверу любым доступным способом, после чего устанавливает вредоносный PAM-модуль для постоянного доступа и сбора учётных данных.

В Flare.io считают, что PamDOORa заметно превосходит большинство открытых вредоносных модулей для PAM. Разработка сочетает перехват учётных данных, скрытое подключение, защиту от анализа и систему сборки модулей под разные конфигурации Linux. Такой набор функций приближает инструмент к уровню профессиональных платформ, которые применяют опытные операторы кибергруппировок.