리눅스 PAM 악용 악성코드 주의!
- PAM 모듈로 구현된 악성코드로 자격 증명 정보 탈취
- 공격자, 획득 자격 증명 정보 C&C 서버에 전송
최근 PAM 악성코드로 자격 증명 정보 탈취가 포착됐다. 탈취된 자격 증명 정보는 공격자 서버로 전송된다. 이용자들의 주의가 필요하다.
PAM 악성코드
PAM (Pluggable Authentication Modules)은 su, sudo, sshd와 같은 응용 프로그램이 인증과 같은 보안 정책 로직을 직접 구현하지 않고 수행할 수 있게 해주는 모듈형 프레임워크다. 이를 악용해 공격자는 PAM 모듈로 구현된 악성코드로 자격 증명 정보를 탈취한다. 이러한 유형 악성코드는 2025년 5월 Nextron사에서 공개한 보고서에서도 공개된 바 있다.
공격자는 사용자가 로그인할 때 자격 증명 정보 탈취 목적으로 PAM 악성코드를 제작했다. 획득한 자격 증명 정보는 C&C 서버에 전송한다.
PAM 후킹 악성코드(Plague)
PAM 모듈 형태로 악성코드를 제작하고 등록하지 않아도 함수가 후킹될 경우 자격 증명 정보가 탈취될 수 있다. 공격자는 응용 프로그램이 특정 함수를 호출할 때 먼저 호출되는 PRELOAD 방식을 악용했다.
Plague 악성코드가 감염 시스템에 설치되면 사용자가 로그인 시 특정 경로에 자격 증명 정보를 저장한다. 또한 사용자가 “changeme”라는 비밀번호를 입력했는지 검사해 매칭될 경우에만 로그인을 성공시킨다. 공격자는 기존 계정들의 비밀번호와 상관없이 비밀번호 “changeme”를 통해 로그인할 수 있다.
Plague악성코드는 공격자가 비밀번호 “changeme”를 통해 로그인할 경우 쉘 히스토리가 남지 않도록 한다. 자격 증명 정보가 포함되는 파일은 은폐한다. Plague 특성상 PRELOAD 방식으로 설치될 수 있다.
안랩은"두 방식 모두 리눅스 서버 사용자 계정에 대한 자격 증명 정보 탈취에 악용될 수 있다"며 "이외에도 공격자가 지정한 특정 비밀번호를 입력할 경우 모든 계정에서 로그인에 성공할 수 있도록 설정해 지속성을 유지시킬 수 있다"고 밝혔다.
이처럼 공격자는 최근 PAM을 통한 인증 과정을 공격해 자격 증명 정보를 탈취하거나 백도어 비밀번호를 설정한다. 공격자는 악성 PAM 모듈 형태로 설치할 수 있도록 제작하거나 PRELOAD라는 기법을 이용해 PAM 인증에 사용되는 함수를 후킹할 수 있도록 악성코드를 만든다. 따라서 피해를 입지 않도록 탐지 모니터링을 강화해야 한다.
Related Materials
- Malware Uses Authentication Modules for Mischief - Unit 42, 2024년
- Stealth in 100 Lines: Analyzing PAM Backdoors in Linux - Nextron Systems, 2025년
CheifEditor
CheifEditor
CheifEditor
