XZ backdoor
A Kaspersky az XZ backdoorról szóló első jelentésében elemezte a kódot a kezdeti fertőzéstől kezdve egészen az általa végrehajtott függvénybe illesztéséig. A kezdeti célja az volt, hogy sikeresen bekapcsolja az RSA kulcs manipulációjával kapcsolatos egyik funkciót. Az új jelentésben a backdoor OpenSSH-n belüli viselkedésére összpontosítanak, pontosabban az OpenSSH hordozható 9.7p1-es verziójára – a jelenleg legfrissebb verzióra.
A történtek jobb megértéséhez javasolja a Kaspersky, hogy olvassa el Baeldung cikkét az SSH hitelesítési módszerekről és JFrog cikkét a kiváltságok szétválasztásáról az SSH-ban.
A Kaspersky elemzése a következő érdekes részleteket tárta fel a backdoor működésével kapcsolatban:
A támadó a backdoor-kommunikáció esetleges rögzítésének vagy eltérítésének elkerülése érdekében anti-replay funkciót állított be.
A backdoor szerzője egy egyéni steganográfiai technikát használt az x86-os kódban a nyilvános kulcs elrejtésére, ami egy nagyon okos technika a nyilvános kulcs elrejtésére.
A backdoor elrejti az SSH-kiszolgálóhoz való illetéktelen kapcsolódások naplózását a naplózási funkció bekötésével.
A hátsó ajtó bekapcsolja a jelszóhitelesítési funkciót, hogy a támadó minden további ellenőrzés nélkül bármilyen felhasználónévvel/jelszóval bejelentkezhessen a fertőzött kiszolgálóra. Ugyanezt teszi a nyilvános kulcsú hitelesítés esetében is.
Távoli kódfuttatási képességekkel rendelkezik, amelyek lehetővé teszik a támadó számára, hogy bármilyen rendszerparancsot futtasson a fertőzött kiszolgálón.
A Kaspersky az XZ backdoorról szóló három bejegyzés után megállapította, hogy valóban egy rendkívül kifinomult fenyegetésről van szó, amely számos sajátossággal rendelkezik. Számos kiemelkedő jellemző teszi egyedivé ezt a fenyegetést, például az, hogy a nyilvános kulcsinformáció magába a bináris kódba van beágyazva, ami megnehezíti a helyreállítási folyamatot, valamint a művelet aprólékos előkészítése, amely egy hosszan tartó pszichológiai megtévesztési (social engineering) kampányt foglal magában.
Figyelemre méltó, hogy a fenyegetés mögött álló csoport vagy támadó széleskörű ismeretekkel rendelkezik a nyílt forráskódú projektek, például az SSH és a libc belsejéről, valamint szakértelemmel rendelkezik a fertőzés elindításához használt kód/szkript elhomályosításában.