XZ Utils’teki arka kapının analizi devam ederken, birçok güvenlik şirketi bu arka kapının Linux sistemlerinde nasıl tespit edileceğine dair araçlar ve tavsiyeler sağladı.
Ne oldu?
Açık kaynaklı XZ Utils sıkıştırma yardımcı programı, kötü amaçlı paketleri ana akım Linux dağıtımlarına dahil ederek bunların dünya çapındaki Linux sistemlerine sınırsız, gizli SSH erişimine izin vermeye çalışan yetenekli bir tehdit aktörü tarafından arka kapıya kapatıldı.
“Yazar, Linux dağıtımlarının paketlerini oluşturmak için kullanması amaçlanan dağıtım tarball’larındaki arka kapıyı kasıtlı olarak gizledi. Xz derleme sistemine, gcc ve gnu bağlayıcıyı kullanarak x86-64 mimarisi için bir RPM veya DEB oluşturma talimatı verildiğinde, arka kapı, derleme sürecinin bir parçası olarak liblzma’ya dahil edilir. Bu arka kapı daha sonra RPM veya DEB içindeki ikili sistemin bir parçası olarak gönderilir,” diye Açık Kaynak Güvenlik Vakfı kısa ve öz bir şekilde açıkladı.
Arka kapı, Microsoft’ta yazılım mühendisi olan Andres Freund tarafından keşfedildi ve varlığı bir haftadan biraz daha uzun bir süre önce kamuoyuna açıklandı. Birkaç Linux dağıtımının kararlı sürümleri etkilendi ancak yaygın bir uzlaşmadan kaçınıldı.
Tehdit araştırmacıları hâlâ arka kapıyı analiz etmeye çalışıyor ve bulgularını her gün açıklıyor.
Bunun, aşağıdakileri yapmak için pek çok hileye başvuran gelişmiş bir tehdit aktörünün işi olduğu açıkça ortaya çıktı:
XZ Utils arka kapısı nasıl tespit edilir?
Arka kapıyı tetiklemek/kullanmak, saldırganın sahip olduğu özel bir SSH anahtarı aracılığıyla kimlik doğrulaması gerektirir; bu nedenle, eğer bu gerçekleşirse, istismar sınırlı olacaktır. Savunmasız kitaplık sürümlerinin pek çok üretim sisteminde yer almamış olması büyük bir nimettir.
Bununla birlikte, kullanıcıların arka kapının varlığını kontrol etmelerine olanak tanıyan bir dizi komut dosyası ve araç yayımlandı.
Freund’un OSS posta listesindeki gönderisi, sistemlerdeki savunmasız SSH ikili dosyalarını tespit etmek için bir komut dosyası içeriyor; bu komut dosyası daha sonra yeniden tasarlandı ve sistemin liblzma kütüphanesinin arka kapılı bir sürümünü kullanıp kullanmadığını kontrol etmek için genişletildi.
Bir ürün yazılımı güvenlik firması olan Binarly, kullanıcıların arka kapı implantasyonu için herhangi bir ikili dosyayı analiz etmesine olanak tanıyan çevrimiçi bir tarayıcı kurdu.
“Bu kadar karmaşık ve profesyonelce tasarlanmış kapsamlı bir implantasyon çerçevesi, tek seferlik bir operasyon için geliştirilmemiştir. Halihazırda başka bir yerde konuşlandırılabilir veya başka operasyonlarda kısmen yeniden kullanılabilir. Tam olarak bu yüzden bu karmaşık arka kapı için daha genel tespite odaklanmaya başladık” dediler.
Geçen haftanın sonlarında Bitdefender, test edilmesi gereken sistemlere uygulanması gereken başka bir tarayıcıyı piyasaya sürdü. (Tarayıcının etkili olması için kök ayrıcalıkları gerektiğinden şirket kaynak kodunu yayımladı.)
Secure Shell Daemon uygulaması (sshd) tarafından kullanılmasalar bile virüslü tüm liblzma kitaplıklarını ve kitaplık derlemesi sırasında arka kapı tarafından enjekte edilen benzersiz bir bayt dizisini arayabilir.
Elastic Security Labs araştırmacıları, Linux yöneticilerinin savunmasız liblzma kitaplıklarını bulmak ve olası şüpheli sshd davranışını belirlemek için kullanabileceği YARA imzalarının, algılama kurallarının ve sorgu sorgularının yanı sıra arka kapıya ilişkin analizlerini yayınladılar.