Η ομάδα του Group-IB Digital Forensics and Incident Response (DFIR) αποκάλυψε μια νέα τεχνική που εκμεταλλεύεται το πλαίσιο Pluggable Authentication Modules (PAM) του Linux για να δημιουργήσει μόνιμα backdoors σε παραβιασμένα συστήματα.
Δείτε επίσης: Οι hackers Earth Lusca χρησιμοποιούν το νέο KTLVdoor backdoor
Αυτή η τεχνική που δεν περιλαμβάνεται ακόμη στο πλαίσιο MITER ATT&CK, περιλαμβάνει την κατάχρηση της μονάδας pam_exec για την απόκτηση προνομιακής πρόσβασης και τη διατήρηση μιας βάσης σε στοχευμένους κεντρικούς υπολογιστές.
Το PAM είναι ένα προσαρμόσιμο πλαίσιο που έχει κατασκευαστεί με κοινόχρηστες βιβλιοθήκες για την επίβλεψη του ελέγχου ταυτότητας και της εξουσιοδότησης των χρηστών σε πολλές εφαρμογές. Διαχωρίζει τη διαδικασία ελέγχου ταυτότητας από συγκεκριμένες εφαρμογές, παρέχοντας αυξημένη ευελιξία.
Η λειτουργική μονάδα pam_exec στο Linux επιτρέπει την εκτέλεση εξωτερικών εντολών ή σεναρίων κατά τη διάρκεια της διαδικασίας ελέγχου ταυτότητας PAM (Pluggable Authentication Modules). Παρέχει έναν τρόπο επέκτασης και προσαρμογής της συμπεριφοράς ελέγχου ταυτότητας, εκτελώντας αυθαίρετες εντολές σε διαφορετικά στάδια της ροής ελέγχου ταυτότητας.
Οι διαχειριστές μπορούν να ρυθμίσουν το PAM ώστε να χρησιμοποιεί διάφορες μεθόδους ελέγχου ταυτότητας, όπως τοπικούς κωδικούς πρόσβασης, LDAP ή βιομετρικά δεδομένα, επιλέγοντας κατάλληλες μονάδες. Ωστόσο, κακόβουλοι παράγοντες έχουν στρέψει τώρα αυτήν ακριβώς την ευελιξία του PAM εναντίον του συστήματος Linux, δημιουργώντας backdoors.
Δείτε ακόμα: Το Godzilla Fileless Backdoor εκμεταλλεύεται ευπάθεια του Atlassian Confluence
Η ομάδα του Group-IB διαπίστωσε ότι οι εισβολείς χειραγωγούν τη διαμόρφωση PAM που σχετίζεται με τον έλεγχο ταυτότητας SSH για να καλέσουν τη λειτουργική μονάδα pam_exec.
Τροποποιώντας το αρχείο διαμόρφωσης για την εκτέλεση μιας κακόβουλης δέσμης ενεργειών κατά τη διάρκεια προσπαθειών ελέγχου ταυτότητας SSH, οι εισβολείς μπορούσαν να εκτελούν σιωπηλά κακόβουλες ενέργειες, ακόμα κι αν η προσπάθεια σύνδεσης αποτύγχανε. Αυτή η τεχνική διασφαλίζει ότι δεν εμφανίζονται ίχνη διείσδυσης δεδομένων στα αρχεία καταγραφής του συστήματος, καθιστώντας τις έρευνες πιο δύσκολες.
Το κακόβουλο σενάριο που εκτελείται μέσω του pam_exec μπορεί να μεταφέρει ευαίσθητα δεδομένα, όπως ονόματα χρήστη, μεταβλητές περιβάλλοντος και λεπτομέρειες ελέγχου ταυτότητας, σε έναν απομακρυσμένο διακομιστή που ελέγχεται από τους εισβολείς. Αυτή η μυστική μέθοδος διείσδυσης παρακάμπτει την παραδοσιακή παρακολούθηση ασφαλείας, καθώς οι αποτυχημένες προσπάθειες σύνδεσης συχνά παραβλέπονται.
Επιπλέον, παραβιάζοντας τις μονάδες PAM, οι εισβολείς μπορούν να δημιουργήσουν backdoors ή να κλέψουν διαπιστευτήρια χρήστη, σε συστήματα Linux, ειδικά επειδή το PAM δεν αποθηκεύει κωδικούς πρόσβασης αλλά μεταδίδει τιμές σε απλό κείμενο. Αυτή η ευπάθεια επιτρέπει στους κακόβουλους παράγοντες να καθιερώσουν επίμονο έλεγχο σε παραβιασμένα συστήματα, καθιστώντας τις προσπάθειες εντοπισμού και αποκατάστασης σημαντικά πιο δύσκολες.
Δείτε επίσης: Ευπάθεια PHP χρησιμοποιείται για εγκατάσταση του Msupedge backdoor
Τα backdoors είναι μία μέθοδος με την οποία ένας χρήστης μπορεί να αποκτήσει μη εξουσιοδοτημένη πρόσβαση σε ένα σύστημα ή ένα δίκτυο. Αυτός ο όρος συνδέεται συχνά με τρωτά σημεία λογισμικού, όπου ένας εισβολέας εκμεταλλεύεται ένα ελάττωμα για να παρακάμψει τις συνήθεις διαδικασίες ελέγχου ταυτότητας, αποκτώντας έτσι τον έλεγχο των ευαίσθητων δεδομένων ή πόρων. Τα backdoors μπορούν να κατασκευαστούν σκόπιμα κατά την ανάπτυξη λογισμικού για καταστάσεις έκτακτης ανάγκης ή δοκιμές, αλλά μπορούν επίσης να δημιουργηθούν και να χρησιμοποιηθούν κακόβουλα από εγκληματίες του κυβερνοχώρου για να παραβιάσουν συστήματα.
Πηγή: cybersecuritynews
