Исследователи компании Flare.io раскрыли детали нового бэкдора для Linux под названием PamDOORa, который, по имеющимся данным, продаётся на русскоязычном киберпреступном форуме Rehub актором под псевдонимом darkworm. Инструмент представляет собой пост-эксплуатационный набор на базе Pluggable Authentication Modules (PAM), обеспечивающий скрытый постоянный доступ к скомпрометированным серверам через OpenSSH. Бэкдор нацелен на системы Linux архитектуры x86_64 и, как сообщается, способен перехватывать учётные данные всех легитимных пользователей, проходящих аутентификацию на заражённой машине. На данный момент свидетельств применения PamDOORa в реальных атаках не зафиксировано, однако его функциональность заслуживает внимания администраторов Linux-систем.

Механизм работы и технические особенности

PAM — это фреймворк безопасности в Unix/Linux, позволяющий администраторам подключать различные механизмы аутентификации (пароли, биометрия, токены) через модульную архитектуру без необходимости переписывать существующие приложения. Ключевая особенность: PAM-модули, как правило, выполняются с привилегиями root, что делает любой скомпрометированный или вредоносный модуль критически опасным.

По данным исследователя Flare.io Ассафа Морага, PamDOORa реализует несколько взаимосвязанных механизмов:

• Доступ по «магическому паролю» — бэкдор активирует скрытый вход при использовании определённой комбинации пароля и TCP-порта, минуя стандартную аутентификацию;
• Перехват учётных данных — через PAM-хуки инструмент собирает пароли всех пользователей, проходящих легитимную аутентификацию на сервере;
• Антифорензика — PamDOORa целенаправленно модифицирует журналы аутентификации, удаляя следы вредоносной активности;
• Защита от отладки — встроенные механизмы противодействия анализу;
• Сетевые триггеры — активация по определённым сетевым условиям;
• Конвейер сборки — наличие билдера для генерации модулей под конкретные цели.

Важно учитывать контекст, отмеченный ещё компанией Group-IB в сентябре 2024 года: PAM не хранит пароли, а передаёт значения в открытом виде между модулями. Модуль pam_exec, предназначенный для запуска внешних команд, может быть использован атакующим для внедрения вредоносных скриптов в конфигурационные файлы PAM, что позволяет получить привилегированную оболочку и обеспечить скрытое закрепление в системе.

Контекст появления на рынке

Как сообщается, первоначальная цена PamDOORa составляла $1 600 (объявление от 17 марта 2026 года). К 9 апреля актор darkworm снизил стоимость почти на 50% — до $900. Такое снижение может указывать на отсутствие покупательского интереса или стремление ускорить продажу.

По оценке Морага, PamDOORa представляет собой эволюцию по сравнению с существующими открытыми PAM-бэкдорами. Хотя каждая из используемых техник по отдельности хорошо задокументирована, их интеграция в единый модульный имплант с антиотладкой, сетевыми триггерами и конвейером сборки приближает инструмент к уровню операторского вредоносного ПО — в отличие от грубых proof-of-concept скриптов из публичных репозиториев.

Предполагаемый сценарий применения подразумевает, что атакующий сначала получает root-доступ к хосту иным способом, а затем разворачивает PamDOORa для перехвата учётных данных и организации постоянного доступа через SSH.

Оценка воздействия

Наибольшему риску подвержены организации, использующие Linux-серверы с OpenSSH-аутентификацией через PAM — то есть подавляющее большинство серверных Linux-инфраструктур. Особую опасность PamDOORa представляет для:

• Серверов с прямым SSH-доступом из интернета;
• Инфраструктур, где мониторинг целостности PAM-модулей не настроен;
• Сред, где компрометация одного сервера может привести к латеральному перемещению благодаря перехваченным учётным данным.

Антифорензические возможности инструмента усугубляют ситуацию: модификация журналов аутентификации затрудняет обнаружение компрометации стандартными средствами анализа логов.

Рекомендации по защите

Поскольку PamDOORa требует предварительного получения root-доступа, защита строится на нескольких уровнях:

• Мониторинг целостности PAM-модулей: настройте контроль изменений файлов в директориях /lib/security/, /lib64/security/ и конфигурационных файлов в /etc/pam.d/ с помощью инструментов вроде AIDE, OSSEC или Tripwire;
• Аудит pam_exec: проверьте конфигурации PAM на наличие вызовов pam_exec, выполняющих нестандартные скрипты — команда grep -r "pam_exec" /etc/pam.d/ поможет выявить подозрительные записи;
• Контроль привилегированного доступа: минимизируйте количество учётных записей с root-привилегиями, используйте многофакторную аутентификацию для SSH;
• Централизованный сбор логов: отправляйте журналы аутентификации на отдельный защищённый сервер, чтобы нейтрализовать локальную модификацию логов;
• Сетевая сегментация: ограничьте SSH-доступ по IP-адресам и используйте jump-хосты для снижения поверхности атаки;
• Проверка хешей: периодически сверяйте контрольные суммы PAM-библиотек с эталонными значениями из пакетов дистрибутива — команда rpm -V pam (для RPM-систем) или debsums libpam-modules (для Debian/Ubuntu).

Несмотря на отсутствие подтверждённых случаев применения PamDOORa в реальных атаках, сам факт появления коммерческого инструмента такого уровня на киберпреступном рынке сигнализирует о растущем интересе к атакам на стек аутентификации Linux. Приоритетное действие для администраторов — внедрить контроль целостности PAM-модулей и централизованный сбор логов аутентификации, если это ещё не сделано. Эти меры эффективны не только против PamDOORa, но и против любых атак, эксплуатирующих модульную архитектуру PAM.