Eine Analyse der xz-Hintertür, Teil 2
Die Analyse des initialen Shellskripts offenbart den nächsten Schritt des so aufwendig vorgehenden Angreifers und entlarvt eine weitere verseuchte Datei.
(Bild: Thorsten Hübner)
Der erste Teil dieser Serie hat erklärt, warum ein Angreifer, der es letztlich auf OpenSSH abgesehen hat, die Komprimierungswerkzeuge xz Utils ins Visier nimmt. Im Code-Repository der xz Utils hatte der Angreifer die Datei bad-3-corrupt_lzma2.xz platziert. Dem Namen nach eine kaputte xz-komprimierte Datei für Testzwecke, die in Wahrheit aber Shellcode des Angreifers enthielt.
Geschickt verschleierte Anweisungen in den Tarballs des Projekts manipulierten das Build-System und extrahierten diesen Code, wenn Maintainer ein xz-Paket für ihre Linux-Distribution bauten (oder wenn Nutzer die xz Utils manuell installierten).
Während des Paketbaus wurde der Code dann von der Standard-Shell des verwendeten Build-Systems ausgeführt. Im Folgenden soll es darum gehen, was dieser Code genau tut.
Das war die Leseprobe unseres heise-Plus-Artikels "Eine Analyse der xz-Hintertür, Teil 2". Mit einem heise-Plus-Abo können sie den ganzen Artikel lesen und anhören.Immer mehr Wissen. Das digitale Abo für IT und Technik.
Fritzbox 7690 im Test: AVMs schneller DSL-Router mit Wi-Fi 7
UpdateWas 100 Kilometer mit dem Elektroauto wirklich kosten
Kabelloser Mähroboter Mammotion Luba 2 AWD im Test
Windows on ARM: Zehn Notebooks mit Copilot+ und Snapdragon X im Vergleichstest
Fahrbericht Dacia Spring: Noch immer billig oder nun preiswert?