Der Arch Linux Benutzer verwaltete Software-Repository namens AUR wurde gefunden, Malware hosten. Die Entdeckung wurde nach einer Änderung in einem der Paketinstallationsanweisungen gemacht worden ist. Dies ist ein weiterer Vorfall, der zeigt, dass Linux-Anwender sollten nicht explizit benutzergesteuerte Repositories vertrauen.
AUR Benutzer verwaltete Arch Linux Repository mit Malware Kontaminierte
Linux-Anwender von allen Distributionen hat eine wichtige Warnung erhält nicht explizit auf Arch Linux gerichteten Anwendergeführten Software-Repositories nach dem jüngsten Vorfall vertrauen. Das Projekt der Benutzer gepflegt AUR-Pakete (die steht für „Arch User-Repository“) wurden Malware-Code Host in mehreren Fällen gefunden. Zum Glück war ein Codeanalyse der Lage, die Änderungen rechtzeitig zu entdecken.
Die Sicherheits Untersuchung zeigt, dass zeigt, dass ein böswilliger Benutzer mit dem Nicknamen xeactor im Juni geändert 7 ein verwaistes Paket (Software ohne einen aktiven Maintainer) namens acroread. Die Änderungen enthalten eine Locke-Skript, das Downloads und führt ein Skript von einem entfernten Standort. Dies installiert eine persistente Software, die rekonfiguriert systemd um periodisch zu starten. Während es scheint, dass sie nicht eine ernsthafte Bedrohung für die Sicherheit der infizierten Hosts, die Skripte können jederzeit manipuliert werden, beliebigen Code enthalten. Zwei weitere Pakete wurden auf die gleiche Weise geändert.
Nach der Entdeckung aller gefährlichen Instanzen entfernt wurden und das Benutzerkonto suspendiert. Die Untersuchung zeigt, dass die ausgeführten Skripte enthalten eine Daten Ernte Komponente, die die folgenden Informationen abruft:
- Maschinen ID.
- Der Ausgang des uname -a.
- CPU Information.
- Pacman (Paket-Management-Dienstprogramm) Information.
- Der Ausgang des systemctl list-Einheiten.
Die geerntete Information zu einem Pastebin-Dokument übertragen werden. Das AUR-Team entdeckt, dass die Skripte die private API-Schlüssel enthalten, die zeigt, dass dies wahrscheinlich durch ein getan unerfahrener Hacker. Der Zweck der Systeminformationen bleibt unbekannt.
Update August 2018 – Malware-Pakete Analyse
Wie bereits erwähnt, bevor wir den Artikel mit neueren Informationen über die Skripte und die Auswirkungen auf dem Zielsystem aktualisiert haben. Wir konnten detaillierte Informationen über die Skripte erhalten’ Betrieb.
Die anfängliche Bereitstellungsskript wurde gefunden, ein enthalten systemd Konfigurationsdatei fügt hinzu, dass eine ständige Präsenz auf dem Computer. Dies macht den init-Dienst, um das Skript der Computer jedes Mal automatisch gestartet beginnt. Es ist so programmiert, die zum Download Download-Skript die Downloads und betreibt eine potentiell gefährliche Datei.
Es heißt die Upload-Skript welche Anrufe mehrere Befehle, die die folgenden Daten ernten:
- Maschinen ID
- Daten
- System Information
- Paketinformationen
- Systemmodule Informationen
Diese Information wird dann an die Pastebin Online-Konto gemeldet.
Die bestätigte Liste der betroffenen Pakete umfasst folgende Einträge AUR:
- acroread 9.5.5-8
- balz 1.20-3
- minergate 8.1-2
Es gibt mehrere Hypothesen, die derzeit als möglich angesehen werden. Ein reddit Benutzer (xanaxdroid_) genanntes online, dass “xeactor” hat mehrere Kryptowährung Bergmann-Pakete gebucht, die mit ihnen Infektion zeigen, dass ein wahrscheinlicher nächster Schritt war,. Die erhaltene System Informationen können verwendet werden, um ein generisches miner Beispiel zu wählen, die mit den meisten der infizierten Hosts kompatibel wären. Die andere Idee ist, dass der Nick-Name zu einer Hacker-Gruppe gehört, die die infizierten Rechner mit Ransomware oder anderen fortgeschrittenen Viren zielen können.
Unabhängig davon, ob Linux-Anwender Arch Linux verwenden sollten sie doppelt überprüfen, ob alle Benutzer verwaltete Repositories, die sie vertrauenswürdig verwenden sind. Dieser Vorfall zeigt einmal mehr, dass die Sicherheit nicht garantiert werden kann. Ein Kommentar von Giancarlo Razzolini (ein Arch Linux vertrauenswürdiger Benutzer) ausdrücklich AUR zu vertrauen und mit Hilfsanwendungen ist keine gute Sicherheitspraxis liest, dass. Als Reaktion auf die Mailingliste angekündigt, er veröffentlicht die folgende Antwort:
Ich bin überrascht, dass
diese Art von dummem Paket Übernahme- und Malware Einführung geschieht nicht häufiger.Aus diesem Grund bestehen wir darauf, Benutzer immer die PKGBUILD Download aus dem AUR, inspizieren und
bauen sie selbst. Helfer, die alles automatisch und Benutzer zu tun, die nicht zahlen
Aufmerksamkeit, *wird * haben Probleme. Sie sollten Helfer noch mehr verwenden, so auf Ihr eigenes Risiko als
die AUR selbst.
Timeline von Arch Linux AUR Incident Response
- Sun Juli 8 05:48:06 koordinierte Weltzeit 2018 - Erstmeldung.
- Sun Juli 8 05:54:58 koordinierte Weltzeit 2018 - Konto gesperrt, commit Trusted Benutzerberechtigungen rückgängig gemacht mit.
- Sun Juli 8 06:02:08 koordinierte Weltzeit 2018 - Die zusätzlichen Pakete wurden von dem AUR Team fixiert.
Nutzer aller Linux-Distributionen sollten auch bewusst sein, die Risiken im Zusammenhang mit der Software von Repositories installieren, die nicht direkt durch ihre direkten Maintainer gehalten werden,. In einigen Fällen tragen sie nicht das gleiche Engagement und Verantwortung, und es ist viel wahrscheinlicher, dass eine Malware-Infektion ausbreiten kann und nicht rechtzeitig angegangen werden können,.
Notiz: Der Artikel wurde mit einer Zeitleiste der Ereignisse aktualisiert.
So erm die Liste der Pakete betroffen wäre schön, in beinhalten.
Hey somebob,
Ich folgte den Vorfall auf der offiziellen Arch Linux-Mailingliste und die genannten Pakete sind “libvlc.git” und “acroread.git”. Die Entwickler sagen, dass zwei weitere Pakete außer “acroread” wurden manipuliert, eine spätere E-Mail erwähnt “libvlc”.
Schauen Sie sich den Link in dem Artikel die Diskussion zugreifen, wenn Sie interessiert sind, wie das Team behandelt die Situation im Detail.
nicht “explizites Vertrauen” bedeuten, das gewünschte Verhalten, d.h.. eine informierte Entscheidung des Benutzers über ein bestimmtes Paket, eher, als “implizites Vertrauen”, d.h.. die fehlende Entscheidung des Benutzers ein bestimmtes Paket, sondern ein allgemeines Vertrauen zu allen von ihnen in Bezug auf?
Ich glaube du hast recht!
Jemand in Frage nur die libvlc Quelle. Wenn Sie die E-Mails später gelesen darauf hingewiesen wurde, dass die URL ist ein Teil von Pacman-Mirror.
Vielen Dank für die Klärung dieser.
Wahrscheinlich informiert jeder einzelne AUR Helfer uns, dass wir PKGBUILDs lesen sollten, so von Malware an dieser Schicht infiziert bedeutet, dass jemand nicht behandeln Sicherheit ernst ...
Wahr, hoffentlich wird dieser Vorfall helfen, das Bewusstsein zu erhöhen.
6 Minuten ist eine ziemlich gute Reaktionszeit.
Meine Vermutung wäre die Ausgabe sein könnte für einen gezielten Angriff gegen die leistungsstärkeren Maschinen eingesetzt werden. Wenn Sie die meisten Maschinen erzählen mit 32 CPU-Kern hat einige Pakete installiert, Sie wissen, was man zum nächsten kapern sollten.
Es ist nicht so sehr ein Vertrauen in das System selbst AUR. Es ist mehr Vertrauen auf den Maintainer(s). Wenn ein Paket schaltet Maintainer, Sie sollten auf der Hut vorübergehend sein.
Wäre eine schöne Ergänzung zu youart.
DIE AUR vertrauenswürdige Benutzer sind genial IMHO!
Daher, warum Sie ab und zu den PKGBUILD überprüfen, bevor die Installation oder Aktualisierung AUR Software mögen. Benutzerverwaltete Repositories kann manchmal Pakete halten, die von Eseln gebaut wurden, keine Scheiße Sherlock!
Wahr, aber nicht jeder kann die Variablen und Code in den PKGBUILD Dateien verstehen.
Deshalb habe ich empfehlen kann mit “trizen” über “Joghurt”: Ich erhalte die alle Informationen aus erster. (Auch haben sie ihre Flucht Routinen Recht).
Vielen Dank für die Empfehlung, Ich habe immer verwendet “Joghurt” wie ich bin daran gewöhnt.
Wahr, aber es ist einfach bash fast vollständig in einer einzigen Datei konzentriert (Ich ziehe es viel zu debian-Format in dieser Hinsicht), und die einzige offizielle Richtung, wie die AUR zu verwenden, hat schöne rote Warnungen hatte für potenziell schädlichen Code zu sagen Check (und wenn nicht sicher fragen, auf thr-Foren und / oder Mailingliste) jahrelang
Ich bin damit einverstanden, dass die Arch Linux User-Community sehr zuverlässig ist. Die AUR-Repository ist genial, da es viele Pakete enthält, die nicht in dem Haupt repos enthalten sein kann,.
Das Wiki gibt einen detaillierten Überblick darüber, wie es verwaltet wird, Ich hoffe, dass die “acroread Fall” die notwendigen Warnleuchte für neue Benutzer festlegen, die vom Benutzer verwaltete Pakete mit größerer Sorgfalt bei der Handhabung.
CAKE Kommentar hier gepostet besagt, dass die “trizen” Hilfsprogramm zeigt detaillierte PKGBUILD Informationen standardmäßig.