心机黑客潜伏两年后向XZ添加后门 多个Linux发行版中招影响服务器安全

最近Linux 社区最关注的事情就是 xz-utils (以前被称为 LZMA Utils) 项目被植入后门的事情,xz 是被 Linux 发行版广泛使用的压缩格式之一,xz-utils 是一个开源项目,2022 年起有个名为 Jia Tan 的账号开始向该项目贡献代码,然后逐步接手该项目成为项目的主要贡献者。

日前该项目被发现存在后门,这些恶意代码旨在允许未经授权的访问,具体来说影响 xz-utils 5.6.0 和 5.6.1 版中,而且这些受影响的版本已经被多个 Linux 发行版合并。

简单来说这是一起供应链投毒事件,攻击者通过上游开源项目投毒,最终随着项目集成影响 Linux 发行版,包括 Fedora Linux 40/41 等操作系统已经确认受该问题影响。

恶意代码的目的:

RedHat 经过分析后认为,此次黑客添加的恶意代码会通过 systemd 干扰 sshd 的身份验证,SSH 是远程连接系统的常见协议,而 sshd 是允许访问的服务。

在适当的情况下,这种干扰可能会让黑客破坏 sshd 的身份验证并获得整个系统的远程未经授权的访问 (无需 SSH 密码或密钥)。

RedHat 确认 Fedora Linux 40/41、Fedora Rawhide 受该问题影响,RHEL 不受影响,其他 Linux 发行版应该也受影响,具体用户可以在开发商网站获取信息。

建议立即停止使用受影响版本:

如果你使用的 Linux 发行版受上述后门程序影响,RedHat 的建议是无论个人还是商用目的,都应该立即停止使用。

之后请查询 Linux 发行版的开发商获取安全建议,包括检查和删除后门程序、回滚或更新 xz-utils 等。

孤独的开源贡献者问题:

在这里还需要额外讨论一个开源项目的问题,xz-utils 尽管被全世界的 Linux 发行版、压缩软件广泛使用,但在之前只有一名活跃的贡献者在维护这个项目。

这个孤独的贡献者可能因为精力不够或者其他原因,在遇到一名新的贡献者时,随着时间的推移,在获取信任后,这名新贡献者逐渐获得了项目的更多控制权。

实际上这名黑客应该也是精心挑选的项目,知道这种情况下可能更容易获取控制权,于是从 2022 年开始就贡献代码,直到成为主要贡献者后,再实施自己的后门行动。

未来这类针对开源项目的供应链攻击应该还会显著增加,这对整个开源社区来说应该都是头疼的问题。

Windows 10查看Wi-Fi密码

确保wlansvc服务启动中,没有无线网络的台式机,该服务未启动
$ sc query wlansvc | findstr STATE
STATE : 4 RUNNING

查看曾经连接过的无线网络
$ netsh wlan show profiles

User profiles
All User Profile : any All User Profile : some All User Profile : meeting_5GHz All User Profile : meeting_2.4GHz

若wlansvc服务未启动,上述命令报错
$ netsh wlan show profiles
The Wireless AutoConfig Service (wlansvc) is not running.

假设一切顺利,如下命令可查看指定无线网络的明文密码
$ netsh wlan show profiles name=”some” key=clear | findstr /C:”Key Content”
Key Content : XXXXXXXXXXXXXXXX

来自:沈沉舟

用树莓派自制反跟踪装置

马特·埃德蒙森(Matt Edmondson)是一名数字取证专家,也是国土安全部的联邦特工。

在一位朋友担心被跟踪后,他制作了一个基于Raspberry Pi的反跟踪工具。

马特·埃德蒙森的家伙什儿

它是由什么构成的?

整个设备都装在鞋盒大小的防水箱内。基础由树莓派3构成。

外接无线网卡和无线信号探测器,可查找附近的设备。

充电宝为一切提供动力,触摸屏显示设备发送的每个警报。

以便用户可以直观地看到哪些设备不断弹出以及多久弹出一次。

它是如何工作的?

该设备运行Kismet软件来检测附近正在寻找Wi-Fi或尝试连接到蓝牙设备的智能手机和平板电脑。Kismet 是一个网络检测器、数据包嗅探器和入侵检测系统,它可与任何支持原始监视模式的无线网卡一起运行。

我们都知道我们的手机会记录应用程序使用情况和位置。

但你可能不知道,你的手机也在不断寻找周围的无线网络。当它找到一个以前连接过的网络时,它会特别兴奋。

“特别兴奋”是指“做一些不同的事情,以一种特殊的方式通知Kismet”。

如果Kismet发现它在过去二十分钟内看过这个设备,它会发出一条警告,让用户知道他们可能被跟踪。

Matt用Python编写了一些代码,以便保留反跟踪工具接触过的设备列表,检查日志并查看上次遇到每个设备的时间。

这种自制的反跟踪设备专为人们在移动中设计。

如果你在一个地方坐了很长时间,而有些人总在你周围闲逛(比如电影院或餐馆),那你每二十分钟就会被提醒一次,让你知道周围可能有人跟踪你。

你可以在2022年8月的黑帽美国安全会议上看到Matt在此设备上的演示文稿,或者前往GitHub查看他针对此反跟踪构建的代码

用Ubuntu构建开源数字取证工具 —— Bitscout

面对真实的网络犯罪现场,司法线索必须保证不被篡改,这也是某些调查耗费了大量时间的一个主要原因。其需要有关工作人员跑到罪案现场,并在不破坏证据的情况下提取恶意软件样本。

为了解决打击网络犯罪的这个巨大痛点,卡巴斯基实验室特地发布了一款免费的网络取证工具,它就是 Bit Scout 。其允许研究人员“远程收集重要的司法鉴定材料,通过网络(或本地附加存储)获得完整的磁盘镜像,或者远程协助处理恶意软件事宜”。

最开始这只是卡巴斯基工作人员Vitaly Kamluk的个人项目,但随着卡巴斯基对数字取证工具方面的需求不断增长,这个项目也一直在被不断改进。

在谈到自己的作品时,Vitaly Kamluk表示:“Bitscout项目开始于多年之前,最早是我的一项兴趣。我一直在研究LiveCD的制作和定制。

后来,我们需要在非洲一个国家的一台受感染计算机上查找攻击者踪迹,我认为自己可以帮忙。我在Linux上制作了一个简单和简化的LiveCD,预配置了VPN客户端和SSH服务器,并通过互联网将其分享给系统所有者。

他利用其烧制了光盘,通过光盘启动了受感染计算机。

这个工具非常好用,我可以通过互联网,连接到远程计算机,并且完全控制它。虽然连接很慢,但幸运的是,我使用的远程桌面访问工具对带宽要求不高。

一个文本终端就足够完成这项工作,通过较慢的拨号互联网服务也能够胜任。我设法帮助系统所有者获取到受感染系统的磁盘镜像,发现了恶意文件和相关文件的位置,最为重要的是,提取了有关威胁的重要信息,包括一个恶意软件释放器和造成感染的鱼叉式钓鱼邮件。

随着时间的推移,类似的情况出现过多次。在同国际刑警组织进行合作时,我们也采用了同样的模式:首先,执法人员前往物理磁盘采集地点,在得到当地执法机关的许可后,帮助我们在现场收集最重要的证据,而且速度非常快。这种方法节省了我们的出差时间,帮助执法机关快速获取网络攻击后留下的关键证据。”

此次发布的版本为Bitscout v2.0,其1.0版本至今未公开发布过。这款工具可以帮助取证调查人员对目标系统进行远程分析,并允许系统拥有者随时监控调查人员的取证活动以确保他们只能访问受限的目标磁盘。

无论是对于安全研究人员、网络犯罪执法部门或是教育机构,这都是一款非常棒的工具。

研究人员此次发布的是Bitscout的镜像文件,因此该工具必须写入一个可移动存储驱动器(U盘)中才可以使用。

让系统从U盘启动之后,研究人员可以使用VPN和SSH远程连接至Bitscout。Bitscout中包含了几种专门为取证分析而设计的热门工具,但用户也可以根据自己的需要来自定义配置这些工具或者添加其他工具。

为了帮助有兴趣的朋友把这款开源数字取证工具用起来,这里放上一则视频教程。

以便新手可以对照着在Ubuntu上构建出成品。

视频地址:http://v.qq.com/x/page/f0744agppqa.html

该工具的几个特点:

1.手动修复受感染的计算机(从rootkit感染中修复)。

2.共享远程会话,可以培训用户,提高分析的速度。

3.能够通过网络从原始服务器硬件克隆磁盘,不需要待在冰冷的服务器室监控整个进度。

4.避免图形界面连接效果不佳。Bitscout使用的是基于文本的用户交互界面(TUI)。

下载地址:

https://github.com/vitaly-kamluk/bitscout

The Kaspersky BitScout Cyber Forensics Tool Revealed

忘记网络设备或应用的默认密码怎么办?

做物联网的,少不了要跟路由器等各种网络设备、PaaS应用打交道。可是要不小心在工作中忘记设备或应用的默认密码怎么办?那可就耽误事情了。今天就给大家介绍一个小工具 —— Passhunt。

这是一款用于寻找路由器、交换机等网络设备、Web 应用等默认身份凭证的工具。大约能搜索世界各地523个供应商和他们的2084个默认密码。各位可保存好,以备不时之需。

安装:

git clone https://github.com/Viralmaniar/Passhunt.git
cd Passhunt
pip3 install -r requirements.txt
python3 Passhunt.py

使用:

1: 输出支持的设备厂商/Web应用列表。
2: 输入厂商名称并搜索默认的登陆凭据。
3: 退出程序

好了,不用谢。欢迎关注“IoT前哨站”微信和微博。

一行命令从 APK 文件中提取 Endpoint 及 URL

做IoT的人免不了要接触Android,接触Android的人又免不了要研究别人的App应用。

Diggy,一款能够从 apk 文件中提取 endpoint 及 URL 的工具,只要一行命令就可以帮大家提取出相关Android apk文件的安装信息和互联网访问信息。

下载地址:https://raw.githubusercontent.com/UltimateHackers/Diggy/master/diggy.sh

使用方法如下:

解压反编译需要一点时间,当然看你自己机器性能了。

我们的树莓派受Meltdown或Spectre漏洞影响吗?

2018年刚开了个头,Meltdown 和 Specter 这两组CPU漏洞就被公布出来,在业内引起轩然大波。波及了几乎所有由英特尔、AMD或ARM在过去十年制造的CPU。

前者对应CVE-2017-5754(乱序执行缓存污染),影响Intel CPU和部分ARM CPU。

后者对应CVE-2017-5753(边界检查绕过)与CVE-2017-5715(分支目标注入),影响Intel CPU和AMD CPU,以及主流的ARM CPU。

目前主流的PC、手机以及服务器,几乎都受到这两组硬件漏洞的影响。这些漏洞将允许恶意程序窃取机器上的任意数据。

关于该漏洞细节网上已经有很多内容,各大厂商也纷纷表示已推出补丁修复。

但不管怎样,了解一下自己的机器是否受影响还是有必要的。

一位名叫Stéphane Lesimple的开发者写了个很好用的脚本,然后一群热心网友又帮着完善了代码。方便了大家的检测。

这里我先试一下自己的DELL游戏笔记本 ,系统是Ubuntu 17.04,处理器是Intel 酷睿i7-6700HQ。

把脚本下载到本地,用root的权限执行。

检测脚本下载地址:https://raw.githubusercontent.com/speed47/spectre-meltdown-checker/master/spectre-meltdown-checker.sh

结果两组漏洞,三个CVE,全中。

这意味着这台笔记本目前仍处在危险之中。

之前有消息说所有树莓派都没有受到最近披露的Meltdown 和 Spectre漏洞影响。但有些厂商似乎又在发布针对树莓派的补丁。

那咱们ARM芯片的树莓派,情况到底怎么样?

接着我试了一下Raspberry Pi 3B ,系统是Raspbian 9,处理器是博通BCM2835(板载标识BCM2837)。

结果还算让人满意,至少咱们的树莓派3B不受这两组漏洞威胁了。

因为修补这些漏洞,多少会降低系统的性能。而树莓派作为低功耗的IoT代表,本来就不怎么快,再降低性能就太可怜了。

想要更多,请关注“IoT前哨站”微博或微信公众号