Wie der Linux-Backdoor PamDOORa versteckten SSH-Zugang ermöglicht

Foto des Autors

CyberSecureFox Editorial Team

Forschende des Unternehmens Flare.io haben Details zu einem neuen Linux-Backdoor namens PamDOORa offengelegt, der nach vorliegenden Informationen auf dem russischsprachigen Cybercrime-Forum Rehub von einem Akteur mit dem Pseudonym darkworm verkauft wird. Das Tool ist ein post-exploitation-Kit auf Basis von Pluggable Authentication Modules (PAM), das verdeckten, dauerhaften Zugriff auf kompromittierte Server über OpenSSH bereitstellt. Der Backdoor zielt auf Linux-Systeme mit x86_64-Architektur ab und soll in der Lage sein, die Zugangsdaten sämtlicher legitimer Nutzer abzugreifen, die sich auf der infizierten Maschine authentifizieren. Derzeit gibt es keine Hinweise auf den Einsatz von PamDOORa in realen Angriffen, seine Funktionalität sollte jedoch die Aufmerksamkeit von Administratoren von Linux-Systemen wecken.

Funktionsweise und technische Besonderheiten

PAM ist ein Sicherheits-Framework unter Unix/Linux, das Administratoren erlaubt, unterschiedliche Authentifizierungsmechanismen (Passwörter, Biometrie, Token) über eine modulare Architektur einzubinden, ohne bestehende Anwendungen neu schreiben zu müssen. Ein zentraler Aspekt: PAM-Module laufen in der Regel mit root-Rechten, was jedes kompromittierte oder bösartige Modul äußerst kritisch macht.

Nach Angaben des Flare.io-Forschers Assaf Morag implementiert PamDOORa mehrere miteinander verknüpfte Mechanismen:

  • Zugang über ein „magisches Passwort“ – der Backdoor aktiviert einen versteckten Login bei Verwendung einer bestimmten Kombination aus Passwort und TCP-Port und umgeht damit die Standardauthentifizierung;
  • Abfangen von Zugangsdaten – über PAM-Hooks sammelt das Tool Passwörter aller Nutzer, die sich legitim auf dem Server authentifizieren;
  • Anti-Forensik – PamDOORa modifiziert gezielt Authentifizierungsprotokolle und entfernt Spuren der bösartigen Aktivität;
  • Schutz vor Debugging – integrierte Mechanismen zur Erschwerung der Analyse;
  • Netzwerk-Trigger – Aktivierung unter bestimmten Netzwerkbedingungen;
  • Build-Pipeline – ein Builder zur Erzeugung von Modulen für konkrete Ziele.

Wichtig ist der Kontext, den bereits Group-IB im September 2024 hervorgehoben hat: PAM speichert keine Passwörter, sondern übergibt Werte im Klartext zwischen den Modulen. Das Modul pam_exec, das zum Starten externer Kommandos vorgesehen ist, kann von Angreifern genutzt werden, um bösartige Skripte in PAM-Konfigurationsdateien einzuschleusen. Dadurch lässt sich eine privilegierte Shell erlangen und eine verdeckte Persistenz in der Umgebung sicherstellen.

Marktkontext

Dem Vernehmen nach lag der Anfangspreis von PamDOORa bei 1.600 US‑Dollar (Anzeige vom 17. März 2026). Bis zum 9. April hatte Akteur darkworm den Preis nahezu halbiert – auf 900 US‑Dollar. Eine solche Reduzierung kann auf mangelndes Käuferinteresse oder den Versuch hindeuten, den Verkauf zu beschleunigen.

Nach Einschätzung von Morag stellt PamDOORa eine Weiterentwicklung gegenüber bestehenden, frei verfügbaren PAM-Backdoors dar. Zwar ist jede der verwendeten Techniken für sich genommen gut dokumentiert, ihre Integration in einen einzigen modularen Implantat-Baustein mit Anti-Debugging, Netzwerk-Triggern und Build-Pipeline hebt das Tool jedoch auf das Niveau eines operator-tauglichen Malware-Werkzeugs – im Gegensatz zu den groben Proof-of-Concept-Skripten aus öffentlichen Repositories.

Das zugrunde gelegte Einsatzszenario sieht vor, dass der Angreifer zunächst auf anderem Wege root-Zugriff auf den Host erlangt und anschließend PamDOORa ausrollt, um Zugangsdaten abzufangen und einen dauerhaften Zugriff über SSH einzurichten.

Auswirkungsanalyse

Am stärksten gefährdet sind Organisationen, die Linux-Server mit OpenSSH-Authentifizierung über PAM betreiben – also die überwiegende Mehrheit serverseitiger Linux-Infrastrukturen. Besonders riskant ist PamDOORa für:

  • Server mit direktem SSH-Zugang aus dem Internet;
  • Infrastrukturen, in denen kein Integritätsmonitoring für PAM-Module eingerichtet ist;
  • Umgebungen, in denen die Kompromittierung eines einzelnen Servers durch abgefangene Zugangsdaten zu lateraler Bewegung führen kann.

Die Anti-Forensik-Funktionen des Tools verschärfen die Lage zusätzlich: Die Modifikation von Authentifizierungsprotokollen erschwert es, eine Kompromittierung mit herkömmlichen Log-Analysewerkzeugen zu erkennen.

Empfehlungen zum Schutz

Da PamDOORa einen zuvor erlangten root-Zugriff voraussetzt, beruht der Schutz auf mehreren Ebenen:

  • Integritätsmonitoring für PAM-Module: Richten Sie eine Änderungskontrolle für Dateien in den Verzeichnissen /lib/security/, /lib64/security/ sowie für die Konfigurationsdateien in /etc/pam.d/ ein, etwa mit Tools wie AIDE, OSSEC oder Tripwire;
  • Audit von pam_exec: Überprüfen Sie die PAM-Konfigurationen auf pam_exec-Aufrufe, die nicht standardisierte Skripte ausführen – der Befehl grep -r "pam_exec" /etc/pam.d/ hilft, verdächtige Einträge aufzuspüren;
  • Kontrolle privilegierter Zugriffe: Minimieren Sie die Anzahl von Konten mit root-Rechten und setzen Sie Multi-Faktor-Authentifizierung für SSH ein;
  • Zentralisierte Log-Sammlung: Leiten Sie Authentifizierungsprotokolle an einen separaten, geschützten Server weiter, um lokale Log-Manipulationen zu neutralisieren;
  • Netzwerksegmentierung: Beschränken Sie SSH-Zugänge anhand von IP-Adressen und nutzen Sie Jump-Hosts, um die Angriffsfläche zu verringern;
  • Prüfung von Hashwerten: Vergleichen Sie regelmäßig die Prüfsummen der PAM-Bibliotheken mit den Referenzwerten aus den Distributionspaketen – etwa mit rpm -V pam (für RPM-Systeme) oder debsums libpam-modules (für Debian/Ubuntu).

Auch wenn bislang keine bestätigten Fälle eines Einsatzes von PamDOORa in realen Angriffen bekannt sind, signalisiert allein das Auftauchen eines kommerziellen Tools dieses Niveaus auf dem Cybercrime-Markt ein wachsendes Interesse an Angriffen auf den Authentifizierungs-Stack von Linux. Vorrangige Maßnahme für Administratoren ist es, Integritätskontrollen für PAM-Module sowie eine zentralisierte Sammlung von Authentifizierungslogs zu etablieren, sofern dies noch nicht geschehen ist. Diese Schritte wirken nicht nur gegen PamDOORa, sondern generell gegen Angriffe, die die modulare Architektur von PAM ausnutzen.

Foto des Autors

CyberSecureFox Editorial Team

Die CyberSecureFox-Redaktion berichtet über Cybersecurity-News, Schwachstellen, Malware-Kampagnen, Ransomware-Aktivitäten, AI Security, Cloud Security und Security Advisories von Herstellern. Die Beiträge werden auf Grundlage von official advisories, CVE/NVD-Daten, CISA-Meldungen, Herstellerveröffentlichungen und öffentlichen Forschungsberichten erstellt. Artikel werden vor der Veröffentlichung geprüft und bei neuen Informationen aktualisiert.

Schreibe einen Kommentar

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre, wie deine Kommentardaten verarbeitet werden.

CyberSecureFox

© 2026 INFO

Über uns

Über CyberSecureFox

Autoren

Kontakt

Redaktion

Redaktionelle Standards

Korrekturen

Rechtliches

Datenschutzerklärung

Nutzungsbedingungen