Dunia keamanan siber Linux kembali dihebohkan dengan kemunculan sebuah backdoor baru. Peneliti keamanan siber telah mengungkap detail tentang PamDOORa Backdoor, sebuah ancaman yang kini diiklankan di forum kejahatan siber Rusia, Rehub. Aktor ancaman dengan julukan "darkworm" menawarkan backdoor ini, yang awalnya seharga $1.600 dan kini telah turun menjadi $900.
PamDOORa dirancang sebagai toolkit post-exploitation berbasis Pluggable Authentication Module (PAM). Fungsinya adalah memungkinkan akses SSH yang persisten. Ini dilakukan dengan kombinasi kata sandi "ajaib" dan port TCP spesifik. Selain itu, alat ini juga mampu mengumpulkan kredensial dari semua pengguna sah yang melakukan otentikasi melalui sistem yang sudah terinfeksi.
Apa Itu PamDOORa?
Assaf Morag, seorang peneliti dari Flare.io, menjelaskan bahwa PamDOORa adalah backdoor berbasis PAM yang baru. Tujuan utamanya adalah menjadi backdoor post-exploitation, memungkinkan otentikasi ke server melalui OpenSSH. Alat ini diklaim bisa tetap persisten pada sistem Linux (x86_64). PamDOORa menjadi backdoor Linux kedua yang menargetkan stack PAM, setelah DopePAM.
Bagaimana PamDOORa Bekerja?
PamDOORa memiliki beberapa kemampuan berbahaya. Pertama, tentu saja, adalah kemampuan untuk mencuri kredensial. Kedua, alat ini dirancang untuk menciptakan akses SSH yang persisten. Ini berarti penyerang bisa kembali masuk ke sistem meskipun kredensial awal mereka sudah berubah.
Flare.io menemukan bahwa PamDOORa juga memiliki kemampuan anti-forensik. Ini memungkinkan backdoor tersebut memanipulasi log otentikasi secara sistematis. Dengan begitu, jejak aktivitas jahat dapat terhapus, membuat deteksi dan penyelidikan menjadi lebih sulit.
Saat ini, belum ada bukti PamDOORa digunakan dalam serangan dunia nyata. Namun, rantai infeksi yang menyebarkan malware ini kemungkinan besar melibatkan penyerang yang sudah mendapatkan akses root ke host terlebih dahulu. Setelah itu, modul PamDOORa akan disebarkan untuk menangkap kredensial dan membangun akses persisten melalui SSH.
Mengapa PAM Menjadi Target?
PAM adalah kerangka kerja keamanan vital dalam sistem operasi Unix atau Linux. Kerangka kerja ini memberikan kemampuan bagi administrator sistem untuk mengintegrasikan berbagai mekanisme otentikasi. Mereka bisa memperbarui mekanisme tersebut, misalnya beralih dari kata sandi ke biometrik, ke dalam sistem yang ada tanpa perlu menulis ulang aplikasi yang sudah ada.
Modul PAM biasanya berjalan dengan hak akses root. Ini berarti bahwa modul yang disusupi, salah dikonfigurasi, atau berbahaya dapat menimbulkan risiko keamanan yang signifikan. Hal ini bisa membuka pintu lebar-lebar bagi pencurian kredensial dan akses tidak sah.
Group-IB, sebuah vendor keamanan dari Singapura, juga menegaskan bahwa modularitas PAM justru memperkenalkan risiko. Modifikasi berbahaya pada modul PAM dapat menciptakan backdoor atau mencuri kredensial pengguna. Ini semakin diperparah karena PAM tidak menyimpan kata sandi. Sebaliknya, ia mengirimkan nilai dalam teks biasa.
Modul pam_exec, yang memungkinkan eksekusi perintah eksternal, bisa dimanfaatkan penyerang. Mereka bisa menyuntikkan script berbahaya ke dalam file konfigurasi PAM. Tujuannya untuk mendapatkan akses tidak sah atau membangun kontrol persisten. Group-IB juga merinci bagaimana konfigurasi PAM untuk otentikasi SSH dapat dimanipulasi untuk menjalankan script melalui pam_exec. Ini memungkinkan aktor jahat mendapatkan shell dengan hak istimewa di host dan memfasilitasi persistensi yang tersembunyi.
Pergerakan di Pasar Gelap
PamDOORa pertama kali ditawarkan dengan harga $1.600 pada tanggal 17 Maret 2026. Namun, persona "darkworm" kemudian mengurangi harganya hampir 50% menjadi $900 pada tanggal 9 April. Penurunan harga ini bisa mengindikasikan kurangnya minat pembeli atau niat untuk mempercepat penjualan.
| Tanggal Penawaran | Harga |
|---|---|
| 17 Maret 2026 | $1.600 |
| 9 April | $900 (turun ~50%) |
Evolusi Ancaman
Morag menjelaskan bahwa PamDOORa merupakan evolusi dari backdoor PAM open-source yang sudah ada. Meskipun teknik-teknik individual seperti PAM hooks, pengambilan kredensial, dan manipulasi log sudah didokumentasikan dengan baik, integrasi PamDOORa membuatnya berbeda. Alat ini adalah implan modular yang kohesif. Dilengkapi dengan kemampuan anti-debug, pemicu berbasis jaringan, dan pipeline builder. Ini menempatkannya lebih dekat ke alat tingkat operator daripada script proof-of-concept kasar yang sering ditemukan di repositori publik.
Ancaman seperti PamDOORa mengingatkan kita akan pentingnya keamanan mendalam pada sistem Linux. Terutama pada komponen fundamental seperti PAM yang memiliki hak akses tinggi.