Der neue Linux-Backdoor PamDOORa markiert eine Eskalation im Bereich der Authentifizierungs-basierten Angriffstools. Laut dem Sicherheitsforscher Assaf Morag von Flare.io handelt es sich um einen post-exploitation Backdoor, der als PAM-basiertes Modul fungiert und Angreifern ermöglicht, sich über OpenSSH persistente Zugriffe auf Linux-Systemen (x86_64-Architektur) zu verschaffen.
Die Funktionsweise ist tückisch: Der Backdoor nutzt eine Kombination aus Magic-Password und spezifischer TCP-Port-Konfiguration, um SSH-Zugang zu ermöglichen. Gleichzeitig erfasst PamDOORa die Anmeldedaten aller legitimen Benutzer, die sich auf dem kompromittierten System authentifizieren. Dies macht den Backdoor besonders wertvoll für Cyberkriminelle – er bietet nicht nur einen Einstiegspunkt, sondern auch vollständige Kontrolle über zukünftige Zugriffe.
Ein kritischer Aspekt ist die Rolle von PAM selbst. PAM ist ein Sicherheitsrahmenwerk in Unix- und Linux-Betriebssystemen, das Systemadministratoren erlaubt, verschiedene Authentifizierungsmechanismen flexibel einzubinden – etwa den Wechsel von Passwörtern zu biometrischen Verfahren. Da PAM-Module mit Root-Privilegien laufen, eröffnet ein kompromittiertes oder bösartiges Modul massive Sicherheitsrisiken. PamDOORa ist bereits der zweite PAM-basierte Backdoor nach dem Malware-Vorgänger Plague.
Besonders besorgniserregend sind die Anti-Forensik-Fähigkeiten: PamDOORa manipuliert gezielt Authentifizierungslogs, um Spuren der Angriffe zu verwischen. Dies erschwert Sicherheitsteams die Detektion und forensische Analyse erheblich.
Nach aktuellem Stand gibt es keine bekannten Fälle von realen Angriffen mit PamDOORa, doch die typische Infektionskette dürfte so aussehen: Der Angreifer verschafft sich zunächst durch andere Mittel Root-Zugriff auf den Host und deployt dann das PamDOORa-Modul zur Credential-Erfassung und persistenten SSH-Kontrolle.
Bemerkenswert ist die Preisgestaltung: Der Verkäufer “darkworm” reduzierte den Preis innerhalb weniger Wochen von 1.600 auf 900 US-Dollar – ein Zeichen für mangelndes Interesse oder eine geplante Beschleunigung des Verkaufs.
Flare.io-Forscher Morag charakterisiert PamDOORa als Evolution über bisherige Open-Source-PAM-Backdoors hinaus. Die Kombination aus PAM-Hooks, Credential-Capture, Log-Tampering, Anti-Debugging und einem Builder-Pipeline hebt es deutlich über primitive Proof-of-Concept-Skripte hinaus – es handelt sich um professionelles Werkzeug auf Operator-Niveau.
Deutsche Unternehmen sollten Linux-Systeme auf verdächtige PAM-Modifikationen überprüfen und das BSI sowie den Bundesbeauftragte für Datenschutz und Informationsfreiheit (BfDI) im Falle eines Verdachts informieren.