พวกเขาตรวจพบแบ็คดอร์ที่ซ่อนอยู่ใน "การทดสอบการใช้ประโยชน์" ของช่องโหว่ที่ส่งผลกระทบต่อ Linux

ความอ่อนแอ

หากถูกโจมตี ข้อบกพร่องเหล่านี้อาจทำให้ผู้โจมตีเข้าถึงข้อมูลที่ละเอียดอ่อนโดยไม่ได้รับอนุญาต หรือก่อให้เกิดปัญหาโดยทั่วไป

ที่นี่ในบล็อก ฉันชอบแบ่งปันข่าวสารมากมายเกี่ยวกับการค้นพบบั๊ก และช่องโหว่ที่ตรวจพบ บน linux ภายในระบบย่อยต่างๆ ของมัน เช่นเดียวกับแอพพลิเคชั่นยอดนิยมบางตัว

อย่างที่หลาย ๆ ท่านคงทราบดี กระบวนการเปิดเผยช่องโหว่มีแนวโน้มที่จะให้ระยะเวลาผ่อนผัน เพื่อให้นักพัฒนามีช่วงเวลาที่จะสามารถแก้ไขข้อผิดพลาดดังกล่าวและเปิดตัวเวอร์ชันแก้ไขหรือแพตช์ได้ ในกรณีส่วนใหญ่ก่อนที่ช่องโหว่จะถูกเปิดเผย ข้อบกพร่องจะได้รับการแก้ไข แต่ก็ไม่เป็นเช่นนั้นเสมอไป ข้อมูลและ xplots ที่เตรียมไว้จะถูกเผยแพร่สู่สาธารณะ

สิ่งที่ทำให้มาถึงจุดนี้ได้ก็คือ นี่ไม่ใช่ครั้งแรกที่มีการเปิดเผยว่ามีการ "แสวงประโยชน์" จากผลช่องโหว่ ด้วย "รางวัลที่ซ่อนอยู่" ตั้งแต่กลางเดือนมิถุนายน มีการรายงานช่องโหว่ (อยู่ภายใต้ CVE-2023-35829 ) ในโมดูลเคอร์เนล Linux rkvdec

ในกรณีนี้ PoC เป็นหมาป่าในชุดคล้ายแกะ เก็บงำเจตนาร้ายไว้ภายใต้หน้ากากเป็นเครื่องมือการเรียนรู้ที่ไม่เป็นอันตราย ประตูหลังที่ซ่อนอยู่นำเสนอการคุกคามที่ซ่อนเร้นและต่อเนื่อง ทำหน้าที่เป็นตัวดาวน์โหลด โดยจะดาวน์โหลดและเรียกใช้สคริปต์ทุบตี Linux อย่างเงียบ ๆ ในขณะที่ปลอมแปลงการดำเนินการเป็นกระบวนการระดับเคอร์เนล

วิธีการคงอยู่ของมันค่อนข้างฉลาด ใช้ในการสร้างไฟล์ปฏิบัติการจากไฟล์ต้นฉบับ โดยใช้ประโยชน์จากคำสั่ง make เพื่อสร้างไฟล์ kworker และเพิ่มพาธไฟล์ไปยังไฟล์ bashrc ทำให้มัลแวร์สามารถทำงานภายในระบบของเหยื่อได้อย่างต่อเนื่อง

ช่องโหว่ที่ตรวจพบนำไปสู่การเข้าถึงพื้นที่หน่วยความจำ หลังจากปล่อยเนื่องจากสภาพการแข่งขันในการดาวน์โหลดไดรเวอร์ สันนิษฐานว่าปัญหาจำกัดอยู่ที่การปฏิเสธการเรียกใช้บริการเท่านั้น แต่เมื่อเร็วๆ นี้ ในบางชุมชนบน Telegram และ Twitter มีข้อมูลปรากฏว่าช่องโหว่นี้สามารถใช้เพื่อรับสิทธิ์รูทโดยผู้ใช้ที่ไม่มีสิทธิ์

เพื่อแสดงให้เห็นถึงสิ่งนี้ ต้นแบบการทำงานสองแบบของ xploits ถูกเผยแพร่เป็นหลักฐาน ซึ่ง ถูกโพสต์บน Github และถูกลบออกในภายหลังเพราะพบประตูหลัง

การวิเคราะห์การหาประโยชน์ที่ตีพิมพ์พบว่า มีโค้ดอันตรายที่ติดตั้งมัลแวร์บน Linuxเนื่องจากพวกเขาตั้งค่าแบ็คดอร์สำหรับการเข้าสู่ระบบระยะไกลและส่งไฟล์บางไฟล์ไปยังผู้โจมตี

การหาประโยชน์ที่เป็นอันตราย เพิ่งแสร้งทำเป็นรับสิทธิ์เข้าถึงรูท โดยแสดงข้อความวินิจฉัยเกี่ยวกับความคืบหน้าของการโจมตี สร้างพื้นที่ระบุผู้ใช้แยกต่างหากด้วยผู้ใช้รูทของตนเอง และเรียกใช้เชลล์ /bin/bash ในสภาพแวดล้อมที่แยกจากหลักการที่สร้างความประทับใจในการเข้าถึงรูทเมื่อเรียกใช้ยูทิลิตี้เช่น whoami

รหัสที่เป็นอันตราย มันถูกเปิดใช้งานโดยการเรียกไฟล์ปฏิบัติการ aclocal.m4 จากสคริปต์ สคริปต์การรวบรวม Makefile (นักวิจัยที่ค้นพบรหัสที่เป็นอันตรายรู้สึกตื่นตระหนกเมื่อรวบรวมช่องโหว่ ไฟล์เรียกทำงานในรูปแบบ ELF เรียกว่าสคริปต์ autoconf) หลังจากเริ่มต้น โปรแกรมปฏิบัติการจะสร้างไฟล์บนระบบที่เพิ่มลงใน "~/.bashrc" เพื่อการเริ่มต้นอัตโนมัติ

ด้วยวิธีนี้ กระบวนการนี้ถูกเปลี่ยนชื่อซึ่งแสดงว่าผู้ใช้จะไม่สังเกตเห็น ในรายการกระบวนการในบริบทของกระบวนการ kworker มากมายในเคอร์เนล Linux

กระบวนการ kworker จะดาวน์โหลดสคริปต์ทุบตีจากเซิร์ฟเวอร์ภายนอก และจะรันบนระบบ ในทางกลับกัน สคริปต์ที่ดาวน์โหลดจะเพิ่มคีย์เพื่อเชื่อมต่อกับผู้บุกรุกผ่าน SSH และยังบันทึกไฟล์ที่มีเนื้อหาของโฮมไดเร็กทอรีของผู้ใช้และไฟล์ระบบบางไฟล์ เช่น /etc/passwd ไปยังบริการจัดเก็บข้อมูล transfer.sh หลังจากนั้นจะถูกส่งเป็นลิงก์ไปยังไฟล์ที่บันทึกไว้ไปยังเซิร์ฟเวอร์ที่ถูกโจมตี

สุดท้ายนี้ เป็นเรื่องที่ควรค่าแก่การกล่าวถึงว่าหากคุณเป็นผู้ที่ชื่นชอบการทดสอบช่องโหว่หรือช่องโหว่ที่เปิดเผย ให้ใช้ความระมัดระวังและการทดสอบเหล่านี้ในสภาพแวดล้อมแยก (VM) หรือบนระบบ/อุปกรณ์รองอื่นๆ ที่เฉพาะเจาะจงสำหรับสิ่งนี้จะไม่เสียหาย

ถ้าคุณเป็น สนใจที่จะทราบข้อมูลเพิ่มเติมเกี่ยวกับเรื่องนี้ คุณสามารถตรวจสอบรายละเอียดได้ใน ลิงค์ต่อไปนี้


เป็นคนแรกที่จะแสดงความคิดเห็น

แสดงความคิดเห็นของคุณ

อีเมล์ของคุณจะไม่ถูกเผยแพร่ ช่องที่ต้องการถูกทำเครื่องหมายด้วย *

*

*

  1. รับผิดชอบข้อมูล: AB Internet Networks 2008 SL
  2. วัตถุประสงค์ของข้อมูล: ควบคุมสแปมการจัดการความคิดเห็น
  3. ถูกต้องตามกฎหมาย: ความยินยอมของคุณ
  4. การสื่อสารข้อมูล: ข้อมูลจะไม่ถูกสื่อสารไปยังบุคคลที่สามยกเว้นตามข้อผูกพันทางกฎหมาย
  5. การจัดเก็บข้อมูล: ฐานข้อมูลที่โฮสต์โดย Occentus Networks (EU)
  6. สิทธิ์: คุณสามารถ จำกัด กู้คืนและลบข้อมูลของคุณได้ตลอดเวลา