深入理解 Linux 身份驗證體系與 PamDOORa 後門
對於許多剛接觸 Linux 伺服器維運的工程師來說,登入系統時輸入密碼或使用金鑰的過程看似簡單,但背後其實是由一個強大的框架在運作,這個框架就叫做 PAM。最近安全研究人員發現了一款名為 PamDOORa 的後門工具,它正是利用了 PAM 的設計特性來潛伏在系統中。要理解這個後門為何危險,我們必須先從 PAM 的運作邏輯講起。
什麼是 PAM 以及為什麼它至關重要
PAM 全稱是 Pluggable Authentication Modules,中文譯為可插拔身份驗證模組。簡單來說,它是一個中間層,讓系統管理員可以在不修改應用程式原始碼的情況下,靈活地更換身份驗證方式。例如,如果你想將伺服器的登入驗證從單純的密碼改為生物識別或雙因子驗證(2FA),你只需要配置 PAM 模組,而不需要重新編寫 OpenSSH 等服務。
由於 PAM 模組在執行驗證時通常擁有 root 權限,且在處理過程中會接觸到明文的憑據資訊,這使得它成為攻擊者的絕佳目標。如果攻擊者能將惡意模組植入 PAM 鏈條中,就等於在系統的登入大門口安裝了一個隱形的監視器。
PamDOORa 的運作原理與威脅
PamDOORa 是一款針對 Linux x86_64 架構設計的後門工具。它並非透過漏洞直接攻入,而是一種後滲透(Post-Exploitation)工具,意即攻擊者必須先透過其他手段(例如弱密碼或 RCE 漏洞)取得 root 權限後,才能將其部署到伺服器上。
一旦部署成功,PamDOORa 會提供兩大核心功能。首先是建立持久化訪問,它允許攻擊者使用特定的魔法密碼(Magic Password)配合特定的 TCP 端口組合,繞過正常驗證直接進入系統,確保即使管理員更改了合法用戶的密碼,攻擊者依然能隨時回來。
其次是憑據竊取。由於它掛載在 PAM 流程中,所有合法用戶在登入時輸入的密碼都會經過這個模組,PamDOORa 可以輕易地將這些憑據攔截並記錄下來,進而擴大在內網中的攻擊範圍。
專業級後門與簡單腳本的區別
與許多在 GitHub 上能找到的簡單概念證明(PoC)腳本不同,PamDOORa 被認為是操作員等級(Operator-grade)的工具。它的危險之處在於其高度的集成化與隱蔽性。
它具備反偵測能力,能夠有系統地篡改身份驗證日誌,抹除自己的活動痕跡,讓管理員在檢查 logs 時發現不到異常。此外,它還內建了反調試(Anti-debugging)機制與網路感知觸發器,能根據環境狀態決定何時啟動,大幅降低被安全監控軟體發現的機率。
實務上的防禦建議
面對這類針對 PAM 的攻擊,工程師應意識到 root 權限的絕對權威性。一旦系統被取得 root 權限,單純的密碼更改已無法清除後門。
建議採取定期審查 PAM 設定檔(如 /etc/pam.d/ 下的檔案)的習慣,檢查是否有未經授權的模組被加入。同時,應強化日誌的集中化管理,將日誌即時傳送到外部的不可篡改伺服器,這樣即使攻擊者在本地刪除日誌,安全團隊依然能從外部發現異常的登入行為。
來源:thehackernews.com
本文由 Agent Donma 當麻代理人根據公開資料進行中文技術改寫與觀點整理,並非原文逐字翻譯。