تم الإعلان عن البرنامج الضار للبيع على منتدى إجرامي روسي‑اللغة يُدعى Rehub، حيث كان سعر الشيفرة المصدرية الكاملة في البداية 1600 دولار، ثم خفض البائع السعر إلى 900 دولار. هذا الانخفاض المفاجئ أثار تحذيرات بين الباحثين، مشيراً إلى إما قلة الاهتمام من المشترين أو رغبة البائع في التخلص السريع من الأداة.
.webp)
يعمل PamDOORa عن طريق اختطاف إطار عمل Pluggable Authentication Module (PAM) الذي تستخدمه أنظمة لينكس لإدارة عمليات تسجيل الدخول والتحقق من الهوية. على عكس البرمجيات الخبيثة التقليدية التي تُظهر نفسها كعملية تشغيلية مرئية، يقوم هذا الباكدوور بحقن وحدة ضارة مباشرةً في طبقة المصادقة، حيث ينتظر بصمت محاولات الدخول ويستولي على البيانات قبل أن تُسجل.
هذا يجعل الهجوم خطيراً للغاية لأنّه يحدث على مستوى لا تراقبه معظم أدوات المراقبة.
حدد باحثون من Group‑IB التقنية المستخدمة في هذا الباكدوور وأشاروا إلى أنه يستغل pam_exec، وهو وحدة PAM قياسية تُصمم لتشغيل أوامر خارجية أثناء أحداث المصادقة. وجد فريق DFIR أن طريقة الاستغلال هذه لم تُدرج بعد في إطار MITRE ATT&CK، ما يجعلها تقنية جديدة قد لا تكون فرق الأمن مستعدةً للدفاع ضدها.
كيف يعمل PamDOORa على أنظمة لينكس
ما يجعل PamDOORa مقلقاً ليس فقط ما يفعله، بل مدى إخفائه للأنشطة. تم بناء الباكدوور لتعديل ملفات سجلات المصادقة مثل lastlog وbtmp وutmp وwtmp، محوًا أي أثر لتواصل المهاجم مع الخادم. هذا يعني أن فرق الاستجابة للحوادث التي تُستدعى للتحقق من اختراق قد تُسرق بيانات اعتمادها فور اتصالها عبر SSH بالآلة المخترقة.
.webp)
يُصمم PamDOORa كأداة ما بعد الاستغلال، أي أن المهاجم يجب أن يحصل على صلاحيات الجذر مسبقاً قبل نشره. بعد التثبيت، يحقن الباكدوور وحدة PAM ضارة تُنتج ملفًا يُدعى pam_linux.so، يُحمَّل إلى مكدس المصادقة إلى جانب الوحدات النظامية الشرعية. هذا التصميم يسمح له بالاندماج مع ملفات النظام العادية بدلاً من استبدالها، مما يصعّب اكتشافه.
يمنح الباكدوور وصولاً مستمراً عبر SSH من خلال مزيج من منفذ TCP محدد و«كلمة سحرية» سرية لا يعرفها سوى المهاجم. روتين خاص يراقب الاتصالات المفتوحة ويطبق منطقاً شرطياً لتحديد متى يتصل المهاجم، فيمنح وصولاً صامتاً بينما لا يرى المستخدمون العاديون أي شيء غير طبيعي.
تُعترض بيانات الاعتماد التي يُدخلها المستخدمون الشرعيون أثناء تسجيل الدخول داخل مكدس PAM، تُشفّر باستخدام XOR مع مفتاح يُولد وقت التشغيل، وتُكتب إلى /tmp بأسماء ملفات عشوائية وتوقيتات عشوائية.
التحليل المضاد للطبعات وتحديات الكشف
ما يميز PamDOORa عن الباكدوورات الأبسط هو قدرته المدمجة على إخفاء الأدلة. يقوم البرنامج بحذف آثار تسجيلات الدخول الخاصة بالمهاجم من السجلات، تاركاً فقط محاولات فشل قد يظن المحققون أنها ضوضاء.
نظرًا لأن سرقة البيانات تحدث داخل طبقة PAM، فإن أدوات التسجيل على مستوى التطبيقات لا تلتقط البيانات المسروقة، وتفوت أساليب الكشف التي تركز على عمليات مساحة المستخدم.
تُنصح فرق الأمن بمعاملة أي خادم لينكس مخترق على أنه فقد جميع بيانات الاعتماد، بغض النظر عن حجم الاختراق الظاهر.
يوصي الباحثون بتمكين SELinux وAppArmor لعزل العمليات بصورة أقوى، وتثبيت Auditd مع قواعد DISA‑STIG لمراقبة تغييرات ملفات النظام، واستخدام rkhunter لاكتشاف الروتكيتات والبرمجيات غير المصرح بها. كما يُنصح بتعطيل تسجيل الدخول كجذر عبر SSH، وقفل حساب الجذر، وتقييد صلاحيات sudo للمستخدمين المصرح لهم فقط لتقليل سطح الهجوم الذي يعتمد عليه PamDOORa.
مؤشرات الاختراق (IoCs)
استنادًا إلى المعلومات الواردة في المادة المصدرية، تم تحديد المؤشرات التالية من السكريبت الضار الذي يُنفّذ أثناء مصادقة SSH:
- وحدة PAM مشتركة ضارة تم حقنها في مكدس المصادقة
- سكريبت يُنفّذ عبر pam_exec أثناء محاولات مصادقة SSH
- موقع كتابة ملفات البيانات المسروقة بأسماء ديناميكية
- منفذ TCP بعيد يُستَخدم بواسطة netcat (nc) لنقل البيانات المسروقة
- ملف تكوين PAM للـ SSH تم تعديلُه لتحميل الوحدة الضارة
- وحدة PAM شرعية استُغلّت لتنفيذ السكريبت الضار بصمت
ملاحظة: تم تشفير عناوين IP والنطاقات (مثال: [.] ) لتجنب الربط غير المقصود.
.webp)