Group-IB Dijital Adli Bilişim ve Olay Müdahale (DFIR) ekibi, tehlikeye atılmış sistemlerde kalıcı arka kapılar oluşturmak için Linux’un Eklentili Kimlik Doğrulama Modüllerini (PAM) kullanan yeni bir teknik keşfetti.
Henüz MITRE ATT&CK çerçevesine dahil edilmeyen bu teknik, hedeflenen ana bilgisayarlara ayrıcalıklı erişim elde etmek ve bir dayanak noktası sağlamak için pam_exec modülünün kötüye kullanılmasını içerir.
PAM, birden fazla uygulama genelinde kullanıcı kimlik doğrulamasını ve yetkilendirmesini denetlemek için paylaşılan kitaplıklarla oluşturulmuş uyarlanabilir bir çerçevedir. Kimlik doğrulama prosedürünü belirli uygulamalardan ayırarak artan esneklik sağlar.
Linux’taki pam_exec modülü, PAM (Pluggable Authentication Modules) kimlik doğrulama süreci sırasında harici komutların veya betiklerin yürütülmesine olanak tanır. Kimlik doğrulama akışının farklı aşamalarında keyfi komutlar çalıştırarak kimlik doğrulama davranışını genişletmenin ve özelleştirmenin bir yolunu sağlar.
Uyumluluğun Kodunu Çözme: CISO’ların Bilmesi Gerekenler – Ücretsiz Web Seminerine Katılın
PAM’ın Esnekliğinden Yararlanma
Linux sistemlerinde kullanıcı kimlik doğrulama ve yetkilendirmeyi yönetmek için tasarlanmış bir kütüphane paketi olan PAM, esnekliği ve modülerliğiyle biliniyor.
Yöneticiler, uygun modülleri seçerek PAM’ı yerel parolalar, LDAP veya biyometrik veriler gibi çeşitli kimlik doğrulama yöntemlerini kullanacak şekilde yapılandırabilir. Ancak kötü niyetli aktörler artık bu esnekliği sisteme karşı kullanmıştır.
Group-IB ekibi, saldırganların pam_exec modülünü çağırmak için SSH kimlik doğrulamasıyla ilgili PAM yapılandırmasını manipüle ettiğini tespit etti.
SSH kimlik doğrulama girişimleri sırasında kötü amaçlı bir betiği yürütmek için yapılandırma dosyasını değiştirerek saldırganlar, oturum açma girişimi başarısız olsa bile sessizce kötü amaçlı eylemler gerçekleştirebilir. Bu teknik, sistem günlüklerinde veri sızdırma izlerinin görünmemesini sağlayarak adli soruşturmaları daha zor hale getirir.
pam_exec aracılığıyla yürütülen kötü amaçlı betik, kullanıcı adları, ortam değişkenleri ve kimlik doğrulama ayrıntıları gibi hassas verileri saldırganlar tarafından kontrol edilen uzak bir sunucuya aktarabilir. Bu gizli sızdırma yöntemi, başarısız oturum açma girişimleri genellikle göz ardı edildiğinden geleneksel güvenlik izlemesini atlatır.
Ayrıca, PAM modülleriyle oynayarak saldırganlar arka kapılar oluşturabilir veya kullanıcı kimlik bilgilerini çalabilir, özellikle de PAM parolaları depolamadığı ve değerleri düz metin olarak ilettiği için. Bu güvenlik açığı kötü niyetli aktörlerin tehlikeye atılmış sistemler üzerinde kalıcı kontrol kurmasına olanak tanır ve bu da tespit ve düzeltme çabalarını önemli ölçüde daha zor hale getirir.
Proaktif Savunmalar ve İzleme
Kuruluşlar, bu yeni tehdit ile mücadele etmek için proaktif savunmalar ve gelişmiş izleme stratejileri benimsemelidir. Unix ve Linux için Ayrıcalık Yönetimi (PMUL), vi gibi yüksek riskli komutları pbvi gibi kısıtlanmış sürümlerle değiştirerek yetkisiz erişimi önlemeye yardımcı olabilir. Ek olarak, dosya bütünlüğü izleme (FIM), şüpheli yapılandırma değişikliklerinin erken tespitine yardımcı olabilir.
Sandbox ortamlarında PAM API kullanımını izlemek, olası güvenlik tehditlerini belirlemek için çok önemlidir. Bu PAM istismar tekniğinin keşfi, Linux topluluğu için bir uyarı niteliğindedir.
Açık kaynaklı sistemler olarak Linux dağıtımları, güvenlik açıklarını gidermek için sürekli çalışan güvenlik uzmanlarının katkılarından yararlanır. Ancak PAM’ın modüler yapısı, dikkatlice yönetilmesi gereken riskler getirir.
Group-IB ekibi bu tekniği ve potansiyel etkisini araştırmaya devam ediyor; kuruluşlar Linux sistemlerinin güvenliğine öncelik vermeli ve PAM tabanlı saldırılara karşı güçlü savunmalara yatırım yapmalıdır.
Güvenlik Ekibiniz için Ücretsiz Olay Müdahale Planı Şablonunu İndirin – Ücretsiz İndir