Sebagian besar implant Linux bermain di layer proses, LD_PRELOAD, service systemd, atau hooking SSH daemon secara langsung. PamDOORa mengambil jalur yang lebih rendah: masuk ke stack PAM dan membiarkan seluruh aplikasi autentikasi memanggil backdoor tersebut secara legitim. Itu mengubah karakter ancamannya secara signifikan, Begitu modul PAM termuat ke dalam alur autentikasi, targetnya bukan lagi SSH saja.
Yang sebenarnya diambil alih adalah mekanisme validasi identitas sistem. SSH, sudo, console login, hingga beberapa service enterprise berbasis PAM semuanya melewati stack yang sama. Di sini menariknya bukan sekadar persistensi, tetapi posisi eksekusi. PamDOORa berjalan sebelum aplikasi benar-benar menyelesaikan proses autentikasi mereka sendiri.
Kenapa PAM Menjadi Target yang Sangat Efisien PAM pada Linux pada dasarnya adalah dispatcher autentikasi modular. Aplikasi seperti sshd tidak selalu memvalidasi password secara mandiri. Mereka menyerahkan proses itu ke stack PAM melalui call seperti: pam_authenticate() pam_acct_mgmt() pam_open_session(). Urutan modul ditentukan melalui file di: /etc/pam.d/ common-auth system-auth PamDOORa memanfaatkan sifat chaining ini.
Bukan dengan mengganti pam_unix.so, implant menambahkan modul baru seperti pam_linux.so lalu menyisipkannya menggunakan flag sufficient. berikut adalah flow dari modul pam: sshd - pamStack - (pam_linuxso - (impalnt) - pamunix.so - modul normal yang lain)
Karena menggunakan sufficient, modul berbahaya bisa menghentikan chain lebih awal ketika kondisi tertentu terpenuhi. Artinya autentikasi valid tidak perlu pernah mencapai pam_unix.so. Banyak implementasi backdoor lama melakukan patch langsung ke OpenSSH atau libc. Problemnya, perubahan seperti itu relatif mudah ditemukan melalui:
- package verification
- checksum mismatch
- RPM/DPKG integrity
- EDR process telemetry
PamDOORa menghindari area tersebut dan memilih layer middleware autentikasi yang lebih jarang dipantau secara ketat. PamDOOR sulit di lacak atau ditemukan karena network-awareness. yaitu modul yang melakukan pengecekan password dan juga melakukan inspeksi metadata koneksi melalui /proc/[pid]/fd.
Baca Juga Tentang: Linux Internals Shell
Terdapat routine seperti procFindConnectionSocket yang kemungkinan melakukan traversal file descriptor untuk mencari socket aktif milik proses autentikasi, dengan tujuan validasi source connection validasi port TCP tertentu validasi jenis socket/protocol. kemudian adanya implikasi bahwa scanner otomatis atau analyst yang mencoba brute-force trigger password tidak akan pernah melihat perilaku abnormal jika koneksi tidak memenuhi kondisi socket tersebut. backdoor pam ini berada pada jalur berbeda dari scanner biasa, cara ini lebih senyap ketimbang harus implant SSH tradisional yang meninggalkan conditional branch jelas di flow autentikasi utama.
pam juga memiliki akses kredensial cleartext sebelum lifecycle atau siklus autentikasi selesai. Begitu user memasukkan password ke SSH, PAM menerima credential sebelum: hashing internal, session setup, logging aplikasi, beberapa kontrol audit jadi pam membuka jalur baru. jadi secara teknis ini merupakan intersepsi, yang membedakan pam dari keylogging. Jadi implant tinggal mengambil parameter autentikasi lalu meneruskannya kembali agar login terlihat normal. Berikut Flow dari Pam:
User login - sshd menerima credential - pam_authenticate() - pam_linux.so membaca username/password - credential disimpan - flow diteruskan ke modul asli.
Dari sudut pandang admin dan juga user biasa, tidak ada anomali yang berbeda dari logic sistem yang ada. Karena password diambil sebelum logging aplikasi, banyak solusi detection berbasis SSH telemetry kehilangan visibility ketika kondisi seperti ini terjadi.
Data-data yang di ambil kemudian di simpan di dir yang minim pengawasan /temp menggunakan XOR runtime key. Untuk menghindari deteksi pam membuat nama dan timestamp yang dinamis agar supaya noise bercampur atau tidak terlihat tidak nomal pada sistem. Di server enterprise, /tmp sering penuh file sementara dari: package manager, container runtime, service daemon cache aplikasi, sehingga Credential dump kecil dengan nama pseudo-random sulit terdeteksi di dir /temp.
Baca Juga Tentang: Malware Obfuscation
Pam manipulasi wtmp, utmp, btmp, dan lastlog File-file tersebut adalah database biner yang dipakai utilitas seperti: last, who, w, lastb. Jika implant memodifikasi record langsung di level struktur, maka tool forensik standar akan tetap menampilkan output yang terlihat konsisten. Sebagian besar investigasi awal Linux masih sangat bergantung pada timeline login. Jika timeline tersebut sudah dikorupsi sejak awal, maka: kapan akses pertama terjadi, akun mana yang dipakai, IP mana yang terlibat, kapan privilege escalation dilakukan, sehingga memicu inkonsistensi integritas data yang ditemukan oleh forensik.
Implat yang dipakai oleh backdoor pam juga menggunakan PAM_IGNORE, Dalam beberapa implementasi PAM, return code seperti PAM_IGNORE memungkinkan modul keluar tanpa memicu failure handling tertentu. Efeknya: noise logging lebih kecil minim autentikasi gagal mencurigakan chain PAM tetap terlihat normal.
Sebagian besar EDR Linux masih sangat process-centric, yang kuat mendeteksi: process injection, privilege escalation aneh, syscall abnormal malware userland, sedangkan Pam berada di jalur yang memang dipercaya atau trusted way sebagai tempat normalnya sebuah sistem berjalan. Proses sepeerti sshd memanggil PAM kemudian PAM membuat .so lalu kredensial di proses merupakan prilaku normal pada sistem. Akibatnya visibility detection menjadi sulit atau abu-abu kecuali defender memiliki: File Integrity Monitoring, baseline hash modul PAM, audit perubahan /etc/pam.d/, audit loading shared object, remote immutable logging. kalau tidak implant bisa bertahan lama tanpa menyentuh indikator noisy seperti persistence service atau reverse shell konvensional.
Baca Juga Tentang: Kredensial Attack SSH
Bagi developer dan sysadmin, indikator paling penting justru bukan network IOC saja, Yang lebih relevan: perubahan urutan modul PAM, munculnya .so asing, penggunaan flag sufficient yang tidak biasa, perubahan timestamp pada /etc/pam.d/, shared object baru di path security module. dan juga penting untuk melakukanaudit terhadap path /usr/lib64/security/, /lib/security/, /etc/pam.d/.
Baca Juga Tentang: Persistence Linux
Untuk detection engineer, masalah utamanya adalah local log tidak lagi bisa dipercaya penuh setelah implant aktif. Jika wtmp dan btmp dapat dimanipulasi, maka autentikasi harus dikorelasikan dengan: NetFlow, firewall log, bastion telemetry, SIEM eksternal, auditd remote forwarding, MFA juga membantu, tetapi konteksnya perlu tepat. Karena implant berada sebelum validasi selesai, password tetap bocor walaupun MFA aktif. MFA hanya membatasi reuse credential secara langsung. Kalau attacker sudah mendapatkan: SSH private key, session hijack, sudo token akses, internal tambahan maka password hanyalah salah satu bagian kompromi.
PamDOOR memiliki design yang berfokus pada: persistensi jangka panjang, stealth operasional, anti-forensik, kontrol akses berbasis kondisi jaringan. Linux server sekarang menyimpan: workload cloud, container orchestration, secret management, CI/CD pipeline, credential infrastructure, jadi kalau terjadi serangan maka Attacker tidak lagi perlu menarget endpoint desktop secara eksklusif tetapi menguasai satu node Linux dengan implant autentikasi seperti ini memberi akses yang lebih strategis dibanding kompromi workstation biasa.
Melalui PamDOOR ini adanya fragmentasi identitas di berbagai komunitas bawah tanah, di mana tim peneliti
Benediktus Sava – Security Researcher
Sumber:
