Eine Analyse der xz-HintertĂĽr, Teil 2
Die Analyse des initialen Shellskripts offenbart den nächsten Schritt des so aufwendig vorgehenden Angreifers und entlarvt eine weitere verseuchte Datei.
Der erste Teil dieser Serie hat erklärt, warum ein Angreifer, der es letztlich auf OpenSSH abgesehen hat, die Komprimierungswerkzeuge xz Utils ins Visier nimmt. Im Code-Repository der xz Utils hatte der Angreifer die Datei bad-3-corrupt_lzma2.xz platziert. Dem Namen nach eine kaputte xz-komprimierte Datei für Testzwecke, die in Wahrheit aber Shellcode des Angreifers enthielt.
Geschickt verschleierte Anweisungen in den Tarballs des Projekts manipulierten das Build-System und extrahierten diesen Code, wenn Maintainer ein xz-Paket fĂĽr ihre Linux-Distribution bauten (oder wenn Nutzer die xz Utils manuell installierten).
Während des Paketbaus wurde der Code dann von der Standard-Shell des verwendeten Build-Systems ausgeführt. Im Folgenden soll es darum gehen, was dieser Code genau tut.
Das war die Leseprobe unseres heise-Plus-Artikels "Eine Analyse der xz-Hintertür, Teil 2". Mit einem heise-Plus-Abo können sie den ganzen Artikel lesen und anhören.