Угроза аутентификации Linux: Вредоносные программы атакуют PAM-модули

PAM представляет собой модульную инфраструктуру, делегирующую аутентификацию для таких приложений, как "su", "sudo" и "sshd", библиотеке "libpam". Эта библиотека загружает и исполняет конфигурируемые PAM-модули, ключевой функцией которых является "pam_sm_authenticate()". Именно эта функция становится главной целью для атакующих.

Прямая подмена: Вредоносные PAM-модули

Первый метод предполагает внедрение злоумышленниками собственного вредоносного модуля в систему PAM. Как отмечается в отчете Nextron Systems (май 2025 г.), такие модули содержат модифицированную функцию "pam_sm_authenticate()". При вызове во время аутентификации пользователя (например, при входе через SSH) эта функция незаметно перехватывает логин и пароль. Данные либо записываются в локальный файл (например, "/tmp/sshlog"), либо немедленно передаются на удаленный сервер управления (C&C). Исследователи подчеркивают, что хотя механизм работы таких модулей изучен, первоначальный вектор их внедрения часто остается неизвестным. AhnLab EDR фокусируется на детектировании самого факта регистрации нового подозрительного PAM-модуля в системе, что служит ранним предупреждением для администраторов.

Скрытый перехват: Техника PRELOAD и угроза Plague

Более изощренная атака, описанная в августе 2025 года, использует метод "LD_PRELOAD" и реализована в вредоносе "Plague". Вместо создания полноценного PAM-модуля Plague предварительно загружается в память процессов, таких как "sshd", с помощью переменной среды "LD_PRELOAD" или файла "/etc/ld.so.preload". Это приводит к тому, что когда приложение вызывает стандартную функцию "pam_authenticate()" из "libpam", первой исполняется *зловредная* версия этой функции, предоставляемая Plague.

Эта подмененная функция выполняет несколько деструктивных действий:

• Кража учетных данных: Перехваченные логины и пароли пользователей сохраняются в скрытом файле, например, "/var/log/.-utmpx".
• Бэкдор-пароль: Вредонос включает проверку на использование хардкодированного пароля (например, "changeme"). Если пользователь вводит этот пароль, аутентификация автоматически считается успешной *независимо* от действительного пароля учетной записи, предоставляя злоумышленникам постоянный доступ.
• Сокрытие активности: Plague активно маскирует свое присутствие. Она предотвращает запись истории команд (shell history) при входе с бэкдор-паролем и скрывает свои артефакты (файлы, начинающиеся с ".-", такие как ".-utmpx", а также сам файл "ld.so.preload" и библиотеку "libselinux.so.8", предположительно являющуюся вредоносной).

Эксперты по безопасности рекомендуют администраторам Linux-систем усилить мониторинг процессов аутентификации, регулярно проверять целостность PAM-конфигураций и файлов, связанных с "ld.so.preload", а также использовать специализированные EDR-решения, способные анализировать поведение на уровне библиотек и модулей. Постоянная бдительность и современные инструменты анализа остаются основными средствами защиты от этих скрытных и опасных атак на инфраструктуру аутентификации.

MD5

• 1f08a739a5b271457925e9db1791ef56
• 2a8de6041c159c91802df65f8ec85d71
• 3cc658ca8747b136120a669183a5d549
• 646221b5b7a5304367603b99d1004e03
• 648dc7e6aa9c2438d50bc364cb1c3ba8