PamDOORa — модульный бэкдор для Linux, эксплуатирующий стек PAM для скрытого доступа через SSH

Исследователи компании Flare.io раскрыли детали нового бэкдора для Linux под названием PamDOORa, который, по имеющимся данным, продаётся на русскоязычном киберпреступном форуме Rehub актором под псевдонимом darkworm. Инструмент представляет собой пост-эксплуатационный набор на базе Pluggable Authentication Modules (PAM), обеспечивающий скрытый постоянный доступ к скомпрометированным серверам через OpenSSH. Бэкдор нацелен на системы Linux архитектуры x86_64 и, как сообщается, способен перехватывать учётные данные всех легитимных пользователей, проходящих аутентификацию на заражённой машине. На данный момент свидетельств применения PamDOORa в реальных атаках не зафиксировано, однако его функциональность заслуживает внимания администраторов Linux-систем.

Механизм работы и технические особенности

PAM — это фреймворк безопасности в Unix/Linux, позволяющий администраторам подключать различные механизмы аутентификации (пароли, биометрия, токены) через модульную архитектуру без необходимости переписывать существующие приложения. Ключевая особенность: PAM-модули, как правило, выполняются с привилегиями root, что делает любой скомпрометированный или вредоносный модуль критически опасным.

По данным исследователя Flare.io Ассафа Морага, PamDOORa реализует несколько взаимосвязанных механизмов:

• Доступ по «магическому паролю» — бэкдор активирует скрытый вход при использовании определённой комбинации пароля и TCP-порта, минуя стандартную аутентификацию;
• Перехват учётных данных — через PAM-хуки инструмент собирает пароли всех пользователей, проходящих легитимную аутентификацию на сервере;
• Антифорензика — PamDOORa целенаправленно модифицирует журналы аутентификации, удаляя следы вредоносной активности;
• Защита от отладки — встроенные механизмы противодействия анализу;
• Сетевые триггеры — активация по определённым сетевым условиям;
• Конвейер сборки — наличие билдера для генерации модулей под конкретные цели.

Важно учитывать контекст, отмеченный ещё компанией Group-IB в сентябре 2024 года: PAM не хранит пароли, а передаёт значения в открытом виде между модулями. Модуль pam_exec, предназначенный для запуска внешних команд, может быть использован атакующим для внедрения вредоносных скриптов в конфигурационные файлы PAM, что позволяет получить привилегированную оболочку и обеспечить скрытое закрепление в системе.

Контекст появления на рынке

Как сообщается, первоначальная цена PamDOORa составляла $1 600 (объявление от 17 марта 2026 года). К 9 апреля актор darkworm снизил стоимость почти на 50% — до $900. Такое снижение может указывать на отсутствие покупательского интереса или стремление ускорить продажу.

По оценке Морага, PamDOORa представляет собой эволюцию по сравнению с существующими открытыми PAM-бэкдорами. Хотя каждая из используемых техник по отдельности хорошо задокументирована, их интеграция в единый модульный имплант с антиотладкой, сетевыми триггерами и конвейером сборки приближает инструмент к уровню операторского вредоносного ПО — в отличие от грубых proof-of-concept скриптов из публичных репозиториев.

Предполагаемый сценарий применения подразумевает, что атакующий сначала получает root-доступ к хосту иным способом, а затем разворачивает PamDOORa для перехвата учётных данных и организации постоянного доступа через SSH.

Оценка воздействия

Наибольшему риску подвержены организации, использующие Linux-серверы с OpenSSH-аутентификацией через PAM — то есть подавляющее большинство серверных Linux-инфраструктур. Особую опасность PamDOORa представляет для:

• Серверов с прямым SSH-доступом из интернета;
• Инфраструктур, где мониторинг целостности PAM-модулей не настроен;
• Сред, где компрометация одного сервера может привести к латеральному перемещению благодаря перехваченным учётным данным.

Антифорензические возможности инструмента усугубляют ситуацию: модификация журналов аутентификации затрудняет обнаружение компрометации стандартными средствами анализа логов.

Рекомендации по защите

Поскольку PamDOORa требует предварительного получения root-доступа, защита строится на нескольких уровнях:

• Мониторинг целостности PAM-модулей: настройте контроль изменений файлов в директориях /lib/security/, /lib64/security/ и конфигурационных файлов в /etc/pam.d/ с помощью инструментов вроде AIDE, OSSEC или Tripwire;
• Аудит pam_exec: проверьте конфигурации PAM на наличие вызовов pam_exec, выполняющих нестандартные скрипты — команда grep -r "pam_exec" /etc/pam.d/ поможет выявить подозрительные записи;
• Контроль привилегированного доступа: минимизируйте количество учётных записей с root-привилегиями, используйте многофакторную аутентификацию для SSH;
• Централизованный сбор логов: отправляйте журналы аутентификации на отдельный защищённый сервер, чтобы нейтрализовать локальную модификацию логов;
• Сетевая сегментация: ограничьте SSH-доступ по IP-адресам и используйте jump-хосты для снижения поверхности атаки;
• Проверка хешей: периодически сверяйте контрольные суммы PAM-библиотек с эталонными значениями из пакетов дистрибутива — команда rpm -V pam (для RPM-систем) или debsums libpam-modules (для Debian/Ubuntu).

Несмотря на отсутствие подтверждённых случаев применения PamDOORa в реальных атаках, сам факт появления коммерческого инструмента такого уровня на киберпреступном рынке сигнализирует о растущем интересе к атакам на стек аутентификации Linux. Приоритетное действие для администраторов — внедрить контроль целостности PAM-модулей и централизованный сбор логов аутентификации, если это ещё не сделано. Эти меры эффективны не только против PamDOORa, но и против любых атак, эксплуатирующих модульную архитектуру PAM.