Source : Black Hills Information Security (blog) — Dans un billet daté du 4 mars 2026, Ben Bowman présente une technique de persistance Linux exploitant le framework PAM et dévoile l’outil open source « PAM Skeleton Key » destiné aux tests d’intrusion (Red Team).

L’auteur explique que PAM gère l’authentification pour des services comme SSHD, recevant les identifiants en clair pour appliquer des politiques définies (ex. /etc/pam.d/sshd). En substituant un module PAM par une version malveillante, il devient possible d’implanter un mot de passe universel (skeleton key) pour tous les comptes et de capturer les identifiants avant chiffrement, puis de les exfiltrer.

La démonstration décrit l’usage de l’outil « PAM Skeleton Key »: après déploiement sur un hôte Linux avec droits root, l’opérateur définit un mot de passe universel (ex. « skeleton ») et un webhook Discord pour la notification des connexions. Un redémarrage permet ensuite une connexion SSH réussie avec ce mot de passe universel, et l’outil envoie une alerte contenant les identifiants vers le webhook. Une option de restauration permet de remettre en place le fichier PAM d’origine.

L’article insiste sur la persistance et la polyvalence de cette approche pour des activités de test: elle peut faciliter l’élévation de privilèges, le mouvement latéral, et la maintien d’accès sur des hôtes Linux, notamment là où SSH est ubiquitaire et où les solutions antivirus sont rares.

IOCs et TTPs observables:

  • TTPs 🧰: abus du framework PAM pour intercepter l’authentification SSH; implantation d’un mot de passe universel; exfiltration d’identifiants via webhook; possibilité de restauration du module; persistance post-redémarrage.
  • Artefacts/IOCs 🔎: dépôt GitHub « her3ticAVI/PAMSkeletonKey »; script/backdoor nommé « .backdoor.sh »; modification des configurations PAM/SSHD (ex. /etc/pam.d/sshd); trafic sortant HTTPS vers discord.com/api/webhooks/; utilisation d’un mot de passe universel « skeleton » (exemple du billet).

En somme, il s’agit d’une publication de démonstration technique orientée Red Team présentant un outil et une méthode de persistance via PAM, avec un proof-of-concept illustrant l’installation, l’usage et la restauration. 🐧🗝️

🔗 Source originale : https://www.blackhillsinfosec.com/the-p-in-pam-is-for-persistence-linux-persistence-technique/