liblzma/xz被植入后门,过程堪比谍战片!

这篇具有很好参考价值的文章主要介绍了liblzma/xz被植入后门,过程堪比谍战片!。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

事件概述

xz是一种几乎存在于所有Linux发行版中的通用数据压缩格式。从5.6.0版本开始,在xz的上游tarball包中被发现了恶意代码,通过一系列复杂的混淆手段,liblzma的构建过程从伪装成测试文件的源代码中提取出预构建的目标文件,然后用它来修改liblzma代码中的特定函数。这导致生成了一个被修改过的liblzma库,任何链接此库的软件都可能使用它,从而拦截并修改与此库的数据交互。

3月29日,微软PostgreSQL开发人员Andres Freund在调试SSH性能问题时,在开源安全邮件列表中发帖称,他在XZ软件包中发现了一个涉及混淆恶意代码的供应链攻击。据Freund和RedHat称,GitXZ中没有恶意代码,只有完整下载包中存在。但是这个代码的提交人两年前就加入了项目维护,暂时不能确定之前的版本有没有问题。

xz 5.6.05.6.1版本库中存在的恶意注入只包含在tarball下载包中。Git发行版中缺少触发恶意代码构建的M4宏。注入期间构建时使用的第二阶段工件存在于Git存储库中,以防存在恶意的M4宏。如果不合并到构建中,第二阶段文件是无害的。在发现者的演示中,发现它干扰了OpenSSH守护进程。虽然OpenSSH没有直接链接到liblzma库,但它以一种使其暴露于恶意软件的方式与systemd通信,而systemd链接到了liblzma。恶意构建会通过systemd干扰sshd的认证。在一定的情况下,这种干扰有可能使恶意行为体破坏ssh认证,并远程未经授权访问整个系统。

截至日前(3月30日),暂未观察到利用此后门代码的行为。

liblzma/xz被植入后门,过程堪比谍战片!

影响的系统范围

xzliblzma 5.6.0~5.6.1 版本,可能包括的发行版 / 包管理系统有:

  • Fedora 41 / Fedora Rawhide

  • Debian Sid

  • Alpine Edge

  • x64 架构的 homebrew

  • 滚动更新的发行版,包括 Arch Linux / OpenSUSE Tumbleweed

如果你的系统使用systemd 启动 OpenSSH 服务,你的 SSH 认证过程可能被攻击。非x86-64 架构的系统不受影响。

if ! (echo "$build" | grep -Eq "^x86_64" > /dev/null 2>&1) && (echo "$build" | grep -Eq "linux-gnu$" > /dev/null 2>&1);then

你可以在命令行输入xz --version来检查xz 版本,如果输出为5.6.05.6.1 ,说明你的xz-utils已被植入后门。

$ xz --version
xz (XZ Utils) 5.6.1
liblzma 5.6.1

目前迹象表明,后门作者有选择性的针对linux 发行版下手。但这个liblzma 可不只Linux上用。比如目前流行的iOS越狱环境,大部分tweak 包还是以.deb 格式发行,比较新的版本就用到了lzma 作为压缩。除此之外,近期有在 macOS上使用brew 安装过xz 这个包也受影响,暂时不能证明有恶意行为:

liblzma/xz被植入后门,过程堪比谍战片!

【----帮助网安学习,以下所有学习资料免费领!加vx:dctintin,备注 “博客园” 获取!】

 ① 网安学习成长路径思维导图
 ② 60+网安经典常用工具包
 ③ 100+SRC漏洞分析报告
 ④ 150+网安攻防实战技术电子书
 ⑤ 最权威CISSP 认证考试指南+题库
 ⑥ 超1800页CTF实战技巧手册
 ⑦ 最新网安大厂面试题合集(含答案)
 ⑧ APP客户端安全检测指南(安卓+IOS)

过程精彩如谍战片

这可能是最大胆的信息安全事件之一。“最大胆”表明这起事件在手法、规模、影响等方面都超出了我们以往对于攻击的认知,可能是一个全新的安全威胁模型。

"最大胆"一词还隐含着对攻击者心理和技术实力的一种评价。做出如此"大胆"之举的,肯定是心理素质极强、技术水平极高、准备极其缜密的黑客团伙,绝非一般的脚本小子可以企及。

1、一个不知名团伙注意到OpenSSH依赖一个名为liblzma(xz)的小众开源压缩库。

2、他们虚构了一个名为"Jia Tan"的开发者身份,从2021年10月开始为xz项目积极做贡献,逐渐获得信任,并最终接管了维护工作。

liblzma/xz被植入后门,过程堪比谍战片!

3、2024年2月,"Jia"在构建脚本中引入了一个复杂隐蔽的后门,该后门似乎针对OpenSSH的身份验证前加密功能,可能添加了"主密钥"让攻击者随意访问受影响服务器。

4、 "Jia"联系Linux发行版维护者,试图让带后门的xz库被打包分发给用户,直到微软员工Andres Freund因调查SSH延迟问题发现了此事。

这可能是一次有外国政府支持的职业行动,而非业余爱好者所为。更根本的是,xz后门不是一个技术问题,可能也不能单靠技术来解决。归根结底,这是一个反情报挑战——完全属于政府和少数拥有生态系统范围监控能力的商业实体的能力范畴。这尤其包括谷歌和微软。事实上,这里有一个有趣的想法:也许他们已经知道了很长一段时间。我们能分辨出这是为了掩盖"手段和来源"而精心设计的披露,还是偶然发现的吗?

检测和解决方法

解决方法:

  • 降级到5.6.0以下版本

  • 更新到官方最新版5.6.4

检测脚本:

#! /bin/bash
​
set -eu
​
# find path to liblzma used by sshd
path="$(ldd $(which sshd) | grep liblzma | grep -o '/[^ ]*')"
​
# does it even exist?
if [ "$path" == "" ]
then
    echo probably not vulnerable
    exit
fi
​
# check for function signature
if hexdump -ve '1/1 "%.2x"' "$path" | grep -q f30f1efa554889f54c89ce5389fb81e7000000804883ec28488954241848894c2410
then
    echo probably vulnerable
else
    echo probably not vulnerable
fi

更多网安技能的在线实操练习,请点击这里>>

  文章来源地址https://www.toymoban.com/news/detail-844380.html

到了这里,关于liblzma/xz被植入后门,过程堪比谍战片!的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • 编译给IOS平台用的liblzma库(xz与lzma)

    打开官方网: XZ Utils    新工程仓库:    旧工程仓库:  旧版本工程编译: 先进行已下载好的lzma目录 执行./autogen.sh生成configure配置程序

    2024年02月16日
    浏览(38)
  • 网络安全实战植入后门程序

     在 VMware 上建立两个虚拟机:win7 和 kali。 Kali:它是 Linux 发行版的操作系统,它拥有超过 300 个渗透测试工具,就不用自己再去找安装包,去安装到我们自己的电脑上了,毕竟自己从网上找到,也不安全。它甚至还集成了 600 多种黑客工具,很强大。 可以永久免费使用,基本

    2024年02月08日
    浏览(42)
  • 微软Exchange服务漏洞被利用,黑客喜好植入Hive勒索软件和后门

    微软Exchange服务的ProxyShell安全问题,由三个cve组成,分别是: — CVE-2021-34473 - Microsoft Exchange ACL绕过漏洞 — CVE-2021-34523 - Microsoft Exchange权限提升漏洞 — CVE-2021-31207 - Microsoft Exchange授权任意文件写入漏洞 黑客通过ProxyShell漏洞,可以未经身份验证攻击暴露互联网上的Microsoft Ex

    2024年02月05日
    浏览(109)
  • 梳理Unity EventSystem事件系统调用过程

    之前写过一个关于Button点击事件怎么被调用的,这次把EventSystem事件系统调用过程总结一下                  图来自 UGUI源码分析:EventSystem事件系统_Vin129的博客-CSDN博客 在事件系统中,最重要的两个类是EventSystem与StandaloneInputModule,这两个类均继承自基类UIBehavior,而UIBehavior继承

    2023年04月09日
    浏览(37)
  • AI绘图新秀Leonardo.ai-堪比Midjourney

    最近AI绘图也因为ChatGPT也快速推上了热门的领域,目前最主流的两个产品:Midjouney 和 Stable Diffusion WebUI(SD),然后Midjouney 使用需要魔法,同时每个月高昂的30美刀的价格也让很多人望而却步;Stable Diffusion WebUI却需要一定的技术基础和实践经验,让小白直接绕门而过。 偶然

    2024年02月11日
    浏览(40)
  • AI教父Geoffrey Hinton:AGI革命堪比车轮的发明

    作者 | Yana Khare 译者 | 平川 来源 | AI前线  ID | ai-front AI 教父:Geoffrey Hinton Geoffrey Hinton 通常被认为是“人工智能教父”,他在机器学习广泛流行之前就一直是这个领域的开拓者。Hinton 对人工神经网络和机器学习算法的发展做出了重大的贡献。Hinton 是多伦多大学的教授,同

    2024年02月04日
    浏览(32)
  • MPT-7B:开源,商业可用,性能堪比LLaMA-7B的LLM新成员

    Meta开源了LLama,不过有很多限制,很难商业运用。于是现在MosaicML开发了MPT-7B模型,它是一个基于Transformer在1T文本/代码Token上训练出来的模型。该模型 开源,与LLaMA-7B模型效果相匹配,而且可用于商业用途 。 代码:https://github.com/mosaicml/llm-foundry/ 模型:mosaicml/mpt-7b-instruct ·

    2024年02月11日
    浏览(36)
  • 内存溢出会导致模块测试正常,植入系统失败

    前些天,遇到了一个问题:需要在系统中添加一个小功能,单独测试,然后植入系统。 代码使用了从网上下载的函数, 模块单独运行,没有问题,但是放在系统中运行就会出问题 。 不得已的情况下,只能 一行行代码排查 ,发现一个地方 使用了malloc但是没有使用free 。 结果

    2024年01月25日
    浏览(38)
  • 网络安全:通过445端口暴力破解植入木马。

    网络安全:通过445端口暴力破解植入木马。 木马制作工具,如:灰鸽子等等 445端口是文件共享端口。可以进入对方文件硬盘进行植入木马: 使用文件共享进入对方磁盘: 在cmd输入net use \\\\x.x.x.xipc$ 之后会让你输入账号和密码: ipc$中$代表共享 $之前代表的是共享什么文件夹

    2024年02月02日
    浏览(67)
  • 第67篇:美国安全公司溯源分析Solarwinds供应链攻击事件全过程

    大家好,我是ABC_123 。本期继续分享Solarwinds供应链攻击事件的第4篇文章,就是美国FireEye火眼安全公司在遭受攻击者入侵之后,是如何一步步地将史上最严重的Solarwinds供应链攻击事件溯源出来的。 注: Mandiant安全公司已被FireEye收购,但是仍然可以独立运营,严格地说的,这

    2024年02月03日
    浏览(42)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包