详细内容或原文请订阅后点击阅览
愚弄所有人的代码:XZ Utils 后门的深处之旅
“卡斯帕斯科的劳拉” 为 Цзя Тана 的陆军合同签订者提供指导。
来源:安全实验室新闻频道卡巴斯基实验室继续揭露贾坦有毒惊喜的细节。
3 月底,在流行的 XZ Utils 库中发现了一个后门,该库的标识符为 CVE-2024-3094。 该实用程序的 5.6.0 和 5.6.1 版本中引入了恶意代码,导致软件供应链中存在严重漏洞。
检测到后门, CVE-2024-3094。这次攻击背后的攻击者竟然是化名贾唐的一名黑客(甚至是一群黑客)。 这一事件立即引起了安全专家的注意,因为后门允许在受感染的服务器上远程执行代码,绕过 OpenSSH 身份验证。
笔名唐家。卡巴斯基实验室正在对该后门进行详细分析,并于近期发布了报告的第三部分。 专家检查了恶意代码的各个方面,识别出攻击者使用的许多独特功能和技术。
报告的第三部分。专家发现XZ Utils中嵌入的后门具有以下特征:
- 重播保护。该后门使用抗重放机制来防止截获的数据被用来攻击其他服务器。 x86 代码中的隐写术。攻击者使用隐写术将公共加密密钥隐藏在代码中,使恶意代码难以检测。 隐藏日志。后门拦截日志记录功能,隐藏未经授权的连接和其他可疑活动的痕迹。 身份验证绕过。该恶意软件拦截密码和公钥身份验证功能,允许攻击者在不验证数据的情况下登录服务器。 远程命令执行。攻击者可以在受感染的服务器上远程执行任何系统命令,这使他们能够完全控制系统。