# DET0454 — Detect Malicious Modification of Pluggable Authentication Modules (PAM) ## Descrição O PAM (Pluggable Authentication Modules) é o framework de autenticação padrão em sistemas Linux e Unix. Adversários com privilégios root podem modificar módulos PAM para interceptar credenciais de usuários no momento da autenticação, implementar backdoors de senha master (que aceitam uma senha universal além da senha legítima), ou desabilitar completamente verificações de autenticação para contas específicas. A modificação de `/etc/pam.d/` ou dos binários de módulos PAM em `/lib/security/` ou `/lib/x86_64-linux-gnu/security/` representa uma das formas mais furtivas de coleta de credenciais em Linux, pois as credenciais são capturadas em texto claro no momento da digitação pelo usuário legítimo. Grupos APT que operam em infraestrutura Linux de alto valor, como servidores SSH e VPNs, utilizam essa técnica para manter acesso de longo prazo. A detecção requer monitoramento de integridade de arquivos (FIM) nos diretórios de configuração e binários PAM, correlação com eventos de autenticação bem-sucedida com padrões anômalos (horário, origem IP), e verificação de hash de módulos PAM contra baseline de pacotes do sistema operacional. ## Indicadores de Detecção - Modificação de arquivos em `/etc/pam.d/` ou `/lib/security/` por processo que não sejá gerenciador de pacotes - Hash de módulo PAM (ex: `pam_unix.so`) divergindo do hash do pacote instalado (`dpkg -V` ou `rpm -V`) - Novo arquivo `.so` criado em diretório de módulos PAM com nome que imita módulos legítimos - Autenticação bem-sucedida de usuário root ou privilegiado via SSH em horário incomum após modificação de PAM - Evento auditd de escrita em `/etc/pam.d/sshd`, `/etc/pam.d/su`, `/etc/pam.d/sudo` - Processo com UID 0 lendo e escrevendo em arquivo de módulo PAM sem contexto de atualização de pacote ## Técnicas Relacionadas - [[T1556003-pluggable-authentication-modules|T1556.003 — Pluggable Authentication Modules]] - [[t1556-modify-authentication-process|T1556 — Modify Authentication Process]] - [[t1003-os-credential-dumping|T1003 — OS Credential Dumping]] - [[t1098-account-manipulation|T1098 — Account Manipulation]] - [[t1543-create-or-modify-system-process|T1543 — Create or Modify System Process]] - [[t1562-impair-defenses|T1562 — Impair Defenses]] ## Analytics Relacionadas - [[an1250-analytic-1250|AN1250 — Analytic 1250]] - [[an1251-analytic-1251|AN1251 — Analytic 1251]] --- *Fonte: [MITRE ATT&CK — DET0454](https://attack.mitre.org/detectionstrategies/DET0454)*