เจาะลึกมัลแวร์ ‘PamDOORa’ บน Linux: ใช้โมดูล PAM เป็นทางผ่านขโมยรหัส SSH ขั้นสูง

พบมัลแวร์ใหม่บน Linux ชื่อ PamDOORa เจาะระบบผ่าน PAM ขโมยรหัสผ่าน SSH และฝังตัวระยะยาว

หลังจากก่อนหน้านี้มีการค้นพบช่องโหว่ร้ายแรงบน Linux อย่าง Copy Fail และ Dirty Frag ล่าสุดนักวิจัยด้านความปลอดภัยพบภัยคุกคามใหม่ในรูปแบบแบ็กดอร์มัลแวร์ชื่อ “PamDOORa” ซึ่งกำลังถูกวางขายในตลาดใต้ดินออนไลน์ และถูกออกแบบมาเพื่อเจาะระบบ Linux โดยเฉพาะ

PamDOORa อาศัยการโจมตีผ่าน PAM หรือ Pluggable Authentication Modules ซึ่งเป็นระบบหลักของ Linux และ Unix ที่ใช้จัดการกระบวนการยืนยันตัวตน เช่น การล็อกอินด้วยรหัสผ่าน การตรวจสอบสิทธิ์ และระบบยืนยันตัวตนรูปแบบอื่น

จุดอันตรายคือ PAM มักทำงานภายใต้สิทธิ์ Root หรือสิทธิ์ระดับสูงสุดของระบบ ทำให้หากถูกดัดแปลงหรือฝังโค้ดอันตรายลงไป ผู้โจมตีจะสามารถควบคุมระบบและซ่อนตัวอยู่ในเซิร์ฟเวอร์ได้เป็นเวลานาน

รายงานระบุว่า PamDOORa ใช้วิธีการที่เรียกว่า Magic Password หรือรหัสผ่านลับพิเศษ ร่วมกับการเชื่อมต่อผ่าน TCP Port ที่กำหนดไว้ล่วงหน้า เพื่อหลบเลี่ยงกระบวนการตรวจสอบสิทธิ์ปกติ และเปิดทางให้ผู้โจมตีเข้าถึงระบบผ่าน SSH ได้โดยไม่ต้องมีข้อมูลล็อกอินจริง

นอกจากนี้ เมื่อผู้ใช้งานตัวจริงล็อกอินเข้าสู่ระบบ มัลแวร์จะดักจับและบันทึกชื่อผู้ใช้กับรหัสผ่านไว้ทันที เนื่องจากกระบวนการตรวจสอบของ PAM มีการจัดการข้อมูลในรูปแบบข้อความที่สามารถถูกอ่านได้ในบางขั้นตอน

PamDOORa ยังมาพร้อมฟีเจอร์ลบร่องรอย โดยสามารถแก้ไขหรือลบ Authentication Logs ที่เกี่ยวข้องกับกิจกรรมไม่พึงประสงค์ ทำให้ทีมความปลอดภัยตรวจสอบต้นตอการบุกรุกได้ยากขึ้นอย่างมาก

ข้อมูลจากนักวิจัยระบุว่า PamDOORa ถูกนำไปประกาศขายครั้งแรกในเดือนมีนาคม 2026 ด้วยราคา 1,600 ดอลลาร์สหรัฐ หรือราว 58,000 บาท ก่อนลดราคาลงเหลือ 900 ดอลลาร์ หรือประมาณ 33,000 บาท ในเดือนเมษายน สะท้อนว่าความสนใจจากผู้ซื้ออาจต่ำกว่าที่ผู้พัฒนาคาดหวัง

ผู้เชี่ยวชาญมองว่า PamDOORa มีความอันตรายมากกว่าสคริปต์โจมตีแบบ Proof of Concept ทั่วไป เพราะมีความสมบูรณ์สูงกว่า และถูกพัฒนาในลักษณะเครื่องมือโจมตีระดับมืออาชีพ พร้อมระบบ Anti-Debugging เพื่อหลีกเลี่ยงการวิเคราะห์

เพื่อป้องกันภัยลักษณะนี้ ผู้ดูแลระบบ Linux ควรตรวจสอบความสมบูรณ์ของไฟล์ PAM ในโฟลเดอร์สำคัญ เช่น /lib/security/ และ /lib64/security/ อย่างสม่ำเสมอ รวมถึงติดตั้งระบบตรวจจับการบุกรุกเพื่อตรวจสอบพฤติกรรม SSH ที่ผิดปกติ

นักวิเคราะห์เตือนว่าเมื่อ Linux ถูกใช้งานมากขึ้นทั้งในเซิร์ฟเวอร์ คลาวด์ และโครงสร้างพื้นฐานองค์กร การโจมตีที่เจาะลึกถึงระดับระบบยืนยันตัวตนอย่าง PAM อาจกลายเป็นแนวทางหลักของกลุ่มแฮกเกอร์ในอนาคต

ที่มา: HKEPC