XZ后门检测工具和脚本最新汇总
2024-4-10 13:41:10 Author: www.freebuf.com(查看原文) 阅读量:9 收藏

freeBuf

主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

1712727417_66162579afd036c54e88b.bmp!small?1712727418515

2024年3月,Linux流行压缩工具xzUtils(5.6.0和5.6.1版本)曝出名为“XZ后门”的恶意软件,震惊了全球安全社区。

该后门(如果成功进入Linux正式发行版)允许攻击者通过SSH身份验证绕过秘密访问全球运行Linux的关键基础设施系统并执行任意命令,堪称“核弹级”后门。

XZ后门影响范围广泛,包括Debian、Ubuntu、Fedora、CentOS等多个主流Linux发行版(主要为测试和实验版本)。由于liblzma库被广泛应用于各类软件和系统中,因此潜在受影响的系统数量可能达到数百万台。

以下是受XZ后门影响的Linux发行版本最新核查清单:

  • Red Hat已确认Fedora Rawhide(Fedora Linux的当前开发版本)和FedoraLinux40beta包含存在后门的xz版本(5.6.0、5.6.1),Red Hat Enterprise Linux(RHEL)版本不受影响。

  • OpenSUSE维护者表示,openSUSE Tumbleweed和openSUSE MicroOS版本在3月7日至3月28日期间的更新包含了受影响的xz版本,SUSE Linux Enterprise和/或Leap不受影响。

  • Debian稳定版本不受影响,受影响的是Debian测试、不稳定和实验版本,Debian维护者“敦促这些版本的用户更新xz-utils软件包”。

  • OffSec证实,在3月26日至3月29日期间更新安装的Kali Linux用户会受到影响。

  • 一些Arch Linux虚拟机和容器映像以及安装介质包含受影响的XZ版本。

  • Ubuntu的所有发行版本均不受影响。

  • Linux Mint不受影响。

  • Gentoo Linux不受影响。

  • Amazon Linux客户不受影响。

  • Alpine Linux不受影响。

检测工具和脚本汇总

XZ后门曝光后,全球安全社区夜以继日分析恶意样本查找攻击源头,并不断推出检测工具和脚本,以下是最新汇总:

  • Freund检测脚本。该脚本可以检测容易遭受XZ后门利用的SSH二进制文件,以及检查系统使用的liblzma库是否包含后门。

    https://support.nagios.com/forum/viewtopic.php?p=216847

  • Binarly在线扫描工具。允许用户上传任何二进制文件进行分析,查看是否存在后门植入。

    https://www.binarly.io/news/binarly-releases-free-detection-tool-for-xz-backdoor

  • Bitdefender扫描工具。需要root权限才能运行(Bitdefender提供了工具源码),可以查找受感染的liblzma库以及识别后门注入的字节序列。

    https://www.bitdefender.com.br/consumer/support/answer/27873/

  • YARA规则。ElasticSecurityLabs的研究人员公布了他们对XZ后门的分析报告,并提供了YARA规则、检测规则以及osquery查询,供Linux管理员用来发现可疑的liblzma库和识别sshd行为异常。

    https://www.elastic.co/security-labs

  • XZ-Hunter扫描工具。2024年4月10日,安全公司Intezer发布了一款名为“XZ-Hunter”的工具,可以用于检测xz后门。该工具可以扫描系统中的所有文件,并识别出被后门感染的文件。

    https://intezer.com/

原文链接:https://mp.weixin.qq.com/s/hJZC5u9eeCKXNpJB8iudvg

本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022


文章来源: https://www.freebuf.com/sectool/397401.html
如有侵权请联系:admin#unsafe.sh