AURと呼ばれるArchLinuxユーザーが管理するソフトウェアリポジトリがマルウェアをホストしていることが判明しました. パッケージのインストール手順の1つが変更された後、検出が行われました。. これは、Linuxユーザーがユーザー制御のリポジトリを明示的に信頼してはならないことを示すさらに別の事件です。.
マルウェアで汚染されたAURユーザーが管理するArchLinuxリポジトリ
すべてのディストリビューションのLinuxユーザーは、Arch Linuxに関連する最新のインシデントに続いて、ユーザーが実行するソフトウェアリポジトリを明示的に信頼しないようにという大きな警告を受けました。. プロジェクトのユーザー管理 AURパッケージ (「ArchUserRepository」の略です) いくつかのインスタンスでマルウェアコードをホストすることが判明しています. 幸いなことに、コード分析は期限内に変更を発見することができました.
セキュリティ調査によると、ニックネームを持つ悪意のあるユーザーが xeactor 6月に変更 7 孤立したパッケージ (アクティブなメンテナのいないソフトウェア) と呼ばれる acroread. 変更には、リモートサイトからスクリプトをダウンロードして実行するcurlスクリプトが含まれていました. これにより、再構成する永続的なソフトウェアがインストールされます systemd 定期的に開始するために. 感染したホストのセキュリティに対する深刻な脅威ではないようですが, スクリプトはいつでも操作して、任意のコードを含めることができます. 他の2つのパッケージも同じ方法で変更されました.
発見後、すべての危険なインスタンスが削除され、ユーザーアカウントが一時停止されました. 調査の結果、実行されたスクリプトには データハーベスティング 次の情報を取得するコンポーネント:
- マシンID.
- の出力 uname -a.
- CPU情報.
- パックマン (パッケージ管理ユーティリティ) 情報.
- の出力 systemctllist-units.
収集された情報はPastebinドキュメントに転送されました. AURチームは、スクリプトにプライベートAPIキーが含まれていることを発見しました。これは、これがおそらく 経験の浅いハッカー. システム情報の目的は不明のままです.
8月の更新 2018 – マルウェアパッケージ分析
前に述べたように、スクリプトとターゲットシステムへの影響に関する新しい情報で記事を更新しました. スクリプトに関する詳細情報を取得することができました’ 手術.
初期展開スクリプトには、 systemd構成ファイル それはコンピュータ上に永続的な存在感を追加します. これにより、initサービスは、コンピューターが起動するたびにスクリプトを自動的に開始します。. ダウンロードするようにプログラムされています スクリプトをダウンロード 悪意のあるファイルをダウンロードして実行します.
それはと呼ばれています スクリプトをアップロード 次のデータを収集するいくつかのコマンドを呼び出します:
- マシンID
- データ
- システムインフォメーション
- パッケージ情報
- システムモジュール情報
この情報は、Pastebinオンラインアカウントに報告されます.
The 影響を受けるパッケージの確認済みリスト 次のAURエントリが含まれます:
- acroread 9.5.5-8
- バルツ 1.20-3
- minergate 8.1-2
現在可能なと考えられているいくつかの仮説があります. redditユーザー (xanaxdroid_) オンラインで言及された “xeactor” それらへの感染が次のステップである可能性が高いことを示すいくつかの暗号通貨マイナーパッケージを投稿しました. 取得したシステム情報を使用して、感染したホストのほとんどと互換性のある汎用マイナーインスタンスを選択できます。. もう1つのアイデアは、ニックネームが、ランサムウェアやその他の高度なウイルスで感染したホストを標的にする可能性のあるハッカーグループに属しているというものです。.
LinuxユーザーがArchLinuxを使用しているかどうかにかかわらず、使用しているユーザーが管理するリポジトリが信頼できるかどうかを再確認する必要があります。. この事件は、セキュリティが保証されないことをもう一度示しています. によるコメント ジャンカルロ・ラゾリーニ (ArchLinuxの信頼できるユーザー) AURを明示的に信頼し、ヘルパーアプリケーションを使用することは、適切なセキュリティ慣行ではないことを読みます. メーリングリストに応えて彼は 次の返信を投稿しました:
びっくりしました
この種のばかげたパッケージの乗っ取りとマルウェアの導入はそれほど頻繁には起こりません.これが、ユーザーが常にAURからPKGBUILDをダウンロードすることを要求する理由です。, それを調べて
自分で構築する. すべてを自動的に行うヘルパーと料金を支払わないユーザー
注意, **問題が発生します. あなたはあなたのリスクでより多くのヘルパーを使うべきです
AUR自体.
ArchLinuxAURインシデント対応のタイムライン
- 7月日曜日 8 05:48:06 UTC 2018 —初期レポート.
- 7月日曜日 8 05:54:58 UTC 2018 - アカウントが一時停止, 信頼できるユーザー権限を使用してコミットを元に戻す.
- 7月日曜日 8 06:02:08 UTC 2018 —追加のパッケージはAURチームによって修正されました.
すべてのLinuxディストリビューションのユーザーは、直接のメンテナによって直接メンテナンスされていないリポジトリからソフトウェアをインストールすることに関連するリスクを十分に認識している必要があります。. 場合によっては、彼らは同じ責任と責任を負わず、マルウェア感染が広がる可能性がはるかに高く、やがて対処されない可能性があります.
ノート: 記事はイベントのタイムラインで更新されました.
マーティン・ベルトフ
マーティンはソフィア大学で出版の学位を取得して卒業しました. サイバーセキュリティ愛好家として、彼は侵入の最新の脅威とメカニズムについて書くことを楽しんでいます.
フォローしてください:
したがって、影響を受けるパッケージのリストを含めるとよいでしょう。.
ねえsomebob,
私は公式のArchlinuxメーリングリストで事件を追跡しました、そして言及されたパッケージは “libvlc.git” と “acroread.git”. 開発者は、他に2つのパッケージがあると述べています “acroread” 操作されました, 後で言及される電子メール “libvlc”.
チームが状況を詳細に処理した方法に興味がある場合は、記事のリンクを参照してディスカッションにアクセスしてください.
しません “明示的な信頼” 望ましい動作を意味します, すなわち. 特定のパッケージに関するユーザーの情報に基づく決定, それよりも “暗黙の信頼”, すなわち. 特定のパッケージに関するユーザーの決定の欠如が、それらすべてに対する一般的な信頼?
私はあなたが正しいと思います!
誰かがlibvlcソースに質問していました. 後のメールを読むと、URLがpacman-mirrorlistの一部であることが指摘されました.
これを明確にしてくれてありがとう.
おそらく、すべてのAURヘルパーが、PKGBUILDを読む必要があることを通知しています。, したがって、このレイヤーでマルウェアに感染しているということは、誰かがセキュリティを真剣に扱っていないことを意味します…
真実, うまくいけば、この事件は意識を高めるのに役立つでしょう.
6 分はかなり良い応答時間です.
私の推測では、出力は、より強力なマシンに対するより標的を絞った攻撃に使用できると思います. あなたがほとんどの機械に 32 CPUコアにはいくつかのパッケージがインストールされています, 次にハイジャックする必要があるのはどれかわかります.
AURシステム自体への信頼はそれほど高くありません. メンテナをより信頼している(s). パッケージがメンテナを切り替えるとき, 一時的に警戒する必要があります.
youartへの素敵な追加になります.
AURの信頼できるユーザーは素晴らしい私見です!
したがって、AURソフトウェアをインストールまたはアップグレードする前に、PKGBUILDを時々確認する必要があるのはなぜですか。. ユーザーが管理するリポジトリには、jackassesによって作成されたパッケージを保持できる場合があります, たわごとシャーロックはありません!
真実, しかし、誰もがPKGBUILDファイルの変数とコードを理解できるわけではありません.
だから私は使用することをお勧めできます “トリゼン” 以上 “ヨーグルト”: 最初にすべての情報を取得します. (また、彼らは彼らの脱出ルーチンを正しく行いました).
推薦してくれてありがとう, 私はいつも使ってきました “ヨーグルト” 私はそれに慣れているので.
真実, しかし、それはほぼ完全に単一のファイルに集中している単純なbashです (その点では、debian形式よりもずっと好きです), そして、AURの使用方法に関する唯一の公式の指示には、潜在的に悪意のあるコードをチェックするという素敵な赤い警告がありました。 (不明な場合は、フォーラムやメーリングリストで質問してください) 長年
ArchLinuxユーザーコミュニティは非常に信頼できることに同意します. AURリポジトリには、メインリポジトリに含めることができない多くのパッケージが含まれているため、すばらしいです。.
ウィキはそれがどのように管理されているかについての詳細な概要を提供します, 私は “アクロリードケース” ユーザーが管理するパッケージをより慎重に処理する際に、新しいユーザーに必要な警告灯を設定します.
KEK ここにコメントを投稿し、 “トリゼン” ヘルパーアプリケーションは、デフォルトで詳細なPKGBUILD情報を表示します.