XZ后门：Hook分析

文章预览

本文为译文，原文配图参见原文（原文链接见文末） 2024年6月25日   8分钟阅读时间 作者 ANDERSON LEITE SERGEY BELOV 在我们关于XZ后门的第一篇文章中,我们分析了从初始感染到它执行函数Hook的代码。正如我们当时提到的,它的最初目标是成功Hook与RSA密钥操作相关的函数之一。在本文中,我们将重点关注后门在OpenSSH中的行为,具体是OpenSSH Portable 9.7p1版本 – 目前最新的版本。 为了更好地理解发生了什么,我们建议您阅读Baeldung关于SSH身份验证方法的文章以及JFrog关于SSH中特权分离的文章。 主要发现 我们的分析揭示了有关后门功能的以下有趣细节: 攻击者设置了反重放功能,以避免可能捕获或劫持后门通信。 后门作者在x86代码中使用自定义隐写术隐藏公钥,这是一种非常聪明的隐藏公钥的技术。 后门通过Hook日志记录函数隐藏其对SSH服务器的未经授权的连接日志。 ………………………………