เจาะลึกแบ็คดอร์ Linux ตัวใหม่ PamDOORa ขโมยรหัส SSH ผ่าน PAM Modules

นักวิจัยด้านความปลอดภัยทางไซเบอร์ได้เปิดเผยรายละเอียดของแบ็คดอร์ Linux ตัวใหม่ที่มีชื่อว่า PamDOORa ซึ่งกำลังถูกโฆษณาขายในฟอรัมอาชญากรรมไซเบอร์ของรัสเซียที่ชื่อ Rehub ในราคา 1,600 ดอลลาร์สหรัฐ โดยผู้ที่ใช้ชื่อว่า darkworm

แบ็คดอร์นี้ถูกออกแบบมาให้เป็นชุดเครื่องมือหลังการบุกรุกที่ใช้ Pluggable Authentication Module หรือ PAM ซึ่งช่วยให้ผู้โจมตีสามารถเข้าถึง SSH ได้อย่างต่อเนื่องผ่านการใช้รหัสผ่านพิเศษร่วมกับการเชื่อมต่อพอร์ต TCP ที่เฉพาะเจาะจง

PamDOORa คืออะไรและทำงานอย่างไร

PamDOORa เป็นแบ็คดอร์ที่ทำงานในระดับโมดูลการตรวจสอบสิทธิ์ของระบบ Linux โดยจะฝังตัวเป็น PAM Module ซึ่งเป็นส่วนประกอบที่ใช้ในการตรวจสอบรหัสผ่านของผู้ใช้ เมื่อผู้โจมตีติดตั้งแบ็คดอร์นี้สำเร็จ พวกเขาจะสามารถใช้รหัสผ่านพิเศษร่วมกับพอร์ต TCP ที่กำหนดไว้ล่วงหน้าเพื่อ bypass การตรวจสอบสิทธิ์ปกติและเข้าสู่ระบบได้ทันที

ความเสี่ยงต่อระบบ Linux และ SSH

การโจมตีด้วย PamDOORa นั้นเป็นภัยคุกคามร้ายแรงต่อระบบ Linux ที่ใช้ SSH เป็นช่องทางหลักในการบริหารจัดการ เนื่องจากแบ็คดอร์สามารถขโมยข้อมูลประจำตัว SSH ของผู้ใช้ทุกคนที่เข้าสู่ระบบในเครื่องที่ถูกติดตั้ง ทำให้ผู้โจมตีสามารถขยายการเข้าถึงไปยังเซิร์ฟเวอร์อื่น ๆ ในเครือข่ายได้

ช่องทางการจำหน่ายและราคา

แบ็คดอร์นี้ถูกนำเสนอขายในฟอรัมใต้ดิน Rehub ซึ่งเป็นที่รู้จักในหมู่อาชญากรไซเบอร์ชาวรัสเซีย โดยผู้ขายใช้ชื่อว่า darkworm และตั้งราคาไว้ที่ 1,600 ดอลลาร์สหรัฐ การที่เครื่องมือนี้ถูกจำหน่ายในฟอรัมดังกล่าวแสดงให้เห็นถึงการเติบโตของตลาดมืดที่มุ่งเน้นการขายเครื่องมือโจมตีเฉพาะทาง

แนวทางการป้องกันและตรวจจับ

องค์กรที่ใช้ Linux ควรให้ความสำคัญกับการตรวจสอบความสมบูรณ์ของ PAM Modules และไฟล์ระบบที่เกี่ยวข้อง รวมถึงการใช้ระบบตรวจจับการบุกรุกที่สามารถวิเคราะห์พฤติกรรมผิดปกติของการตรวจสอบสิทธิ์ นอกจากนี้ การจำกัดการเข้าถึง SSH และการใช้การยืนยันตัวตนแบบหลายปัจจัยก็เป็นมาตรการสำคัญในการลดความเสี่ยง

Reference

หากสนใจสินค้า หรือต้องการคำปรึกษาเพิ่มเติม

💬 Line @monsteronline

☎️ Tel 02-026-6664

📩 Email [email protected]

🌐 ดูสินค้าเพิ่มเติม mon.co.th