Uma nova ameaça de backdoor denominada PamDOORa emergiu como um risco sério e crescente para sistemas Linux, explorando um dos componentes mais confiáveis do sistema operacional para roubar credenciais SSH silenciosamente. Identificada por pesquisadores de segurança, a malícia foi anunciada para venda em um fórum de cibercrime de língua russa chamado Rehub, com seu código-fonte completo listado inicialmente a 1.600 dólares antes que o vendedor reduzisse o preço para 900 dólares. Essa queda repentina levantou bandeiras vermelhas entre pesquisadores, sugerindo tanto interesse limitado de compradores quanto uma corrida deliberada para liquidar a ferramenta rapidamente.
Como a PamDOORa opera nos sistemas Linux
A PamDOORa funciona sequestrando o framework de Módulo de Autenticação Pluggável (PAM), que os sistemas Linux utilizam para lidar com logins de usuários e verificação de identidade. Ao contrário de malwares tradicionais que se plantam como um processo visível em execução, esta backdoor injeta um módulo malicioso diretamente na camada de autenticação, onde aguarda silenciosamente por tentativas de login e colhe credenciais antes que possam ser registradas. Isso a torna especialmente perigosa porque o ataque ocorre em um nível que a maioria das ferramentas de monitoramento não observa de perto.
Os pesquisadores do Grupo-IB identificaram a técnica sendo usada nesta backdoor e notaram que ela explora o pam_exec, um módulo PAM padrão projetado para executar comandos externos durante eventos de autenticação. A equipe DFIR do Grupo-IB descobriu que este método específico de abuso ainda não havia sido incluído no framework MITRE ATT&CK, tornando-se uma técnica novel que muitas equipes de segurança podem não estar defendendo ativamente.
O ator de ameaça por trás da PamDOORa opera sob o pseudônimo "darkworm" no fórum Rehub e demonstra conhecimento técnico notável dos internals do Linux. A análise de trechos de código compartilhados no anúncio mostrou técnicas realistas e críveis que se alinham com métodos conhecidos de exploração PAM. O vendedor foi avaliado como mais tecnicamente capaz e sério em comparação com outros indivíduos que reutilizam o mesmo pseudônimo em fóruns de nível inferior.
Capacidades anti-forenses e desafios de detecção
O que torna a PamDOORa especialmente preocupante não é apenas o que ela faz, mas o quão bem ela se esconde. A backdoor foi construída para manipular arquivos de log de autenticação, incluindo lastlog, btmp, utmp e wtmp, apagando qualquer rastro de que um atacante se conectou ao servidor. Isso significa que as equipes de resposta a incidentes chamadas para investigar uma violação podem inadvertidamente ter suas próprias credenciais roubadas no momento em que fazem SSH na máquina comprometida.
A PamDOORa é projetada como uma ferramenta de pós-exploração, o que significa que o atacante deve já ter acesso root antes de implantá-la. Uma vez instalada, a backdoor injeta um módulo PAM malicioso que produz um arquivo chamado pam_linux.so, carregado na pilha de autenticação junto com módulos do sistema legítimos. Este design permite que ela se misture com arquivos do sistema normais em vez de substituí-los, tornando a detecção significativamente mais difícil.
O que diferencia a PamDOORa de backdoors mais simples é sua capacidade anti-forense embutida. A ferramenta apata ativamente os rastros de login do atacante nos logs do sistema, deixando para trás apenas entradas de login falhadas que os investigadores provavelmente descartarão como ruído. Como o roubo de credenciais ocorre dentro da camada PAM, as ferramentas de registro em nível de aplicativo nunca capturam os dados roubados, e os métodos de detecção focados em processos de espaço de usuário a perderão inteiramente.
Indicadores de comprometimento e mitigação
Com base nas informações divulgadas no material-fonte, os seguintes indicadores foram identificados a partir do script malicioso executado durante a autenticação SSH:
- Nome do Arquivo: pam_linux.so (Objeto compartilhado PAM malicioso injetado na pilha de autenticação)
- Nome do Arquivo: tn.sh (Script executado via pam_exec durante tentativas de autenticação SSH)
- Diretório: /tmp/ (Local onde os arquivos de credenciais capturados são escritos com nomes dinâmicos)
- Porta de Rede: 1234 (Porta remota usada por netcat para exfiltrar dados de credenciais roubadas)
- Caminho de Configuração PAM: /etc/pam.d/sshd (Arquivo de configuração PAM SSH modificado para carregar o módulo malicioso)
- Módulo PAM: pam_exec.so (Módulo PAM legítimo abusado para executar o script malicioso silenciosamente)
As equipes de segurança são aconselhadas a tratar qualquer servidor Linux comprometido como tendo credenciais totalmente expostas, independentemente de quão limitada a violação pareça. Os pesquisadores recomendam habilitar SELinux e AppArmor para isolamento de processo mais forte, instalar o Auditd com regras recomendadas DISA-STIG para monitorar alterações em arquivos do sistema e implantar o rkhunter para detectar rootkits e software não autorizado.
Desabilitar o login root via SSH, bloquear a conta root e restringir o acesso sudo apenas aos usuários autorizados são etapas essenciais para reduzir a superfície de ataque na qual a PamDOORa depende. A criptografia de credenciais usando XOR com uma chave gerada em tempo de execução e a escrita em /tmp com nomes de arquivos e timestamps gerados aleatoriamente adicionam uma camada de ofuscação que exige análise forense profunda para identificação.
Implicações para governança de segurança
Para CISOs e equipes de SOC, a emergência da PamDOORa destaca a necessidade de monitoramento contínuo da integridade dos módulos PAM. A detecção de arquivos recém-criados em /etc/pam.d ou alterações não autorizadas em pam_exec.so deve ser priorizada. Além disso, a venda de ferramentas de backdoor em fóruns de cibercrime indica que a proliferação de ameaças sofisticadas está se tornando mais acessível, exigindo que as organizações atualizem seus controles de detecção para incluir comportamentos anômalos na camada de autenticação, não apenas no nível de aplicação.