Eine Analyse der xz-Hintertür, Teil 3

Diesmal geht es um das zentrale Shellskript des Angreifers: Wie es beim Paketbau Schadcode in die xz-Bibliothek liblzma einfügt und woher der Schadcode kommt.

Artikel verschenken

7

(Bild: Thorsten Hübner)

15.08.2024, 14:00 Uhr

Lesezeit: 14 Min.

c't Magazin

Von

Sylvester Tremmel

Eine Analyse der xz-Hintertür, Teil 3
Aufspaltung in Blöcke
Weiterer Ablauf
Malware einbauen

Artikel in c't 19/2024 lesen

Nun geht es endlich ans Eingemachte, der Schadcode im Build-Prozess baut Malware in das xz-Paket ein. Kleine Rekapitulation: Im ersten Teil dieser Serie haben wir nachvollzogen, wie der Angreifer das Build-System der "xz Utils" (im Folgenden nur "xz" genannt) unterwandert hat und warum er überhaupt xz aufs Korn genommen hat, obwohl er es letztlich auf OpenSSH abgesehen hatte. Teil zwei hat dann nachgezeichnet, wie das erste Shellskript des Angreifers in der Testdatei bad-3-corrupt_lzma2.xz versteckt war, wie es von dort extrahiert wurde und was es tut: Im Wesentlichen extrahiert es ein weiteres Shellskript aus einer weiteren angeblichen Testdatei (good-large_compressed.lzma) und führt es aus.

In diesem Teil der Serie geht es nun um dieses zweite Shellskript. Es fällt mit knapp 250 Zeilen zu umfangreich aus, um es im Artikel vollständig wiederzugeben. Wir haben für Sie aber sowohl die originale Variante als auch eine, die wir zur besseren Lesbarkeit formatiert und kommentiert haben verlinkt.

Der Angreifer hingegen hat versucht, die Lesbarkeit des Skripts so gering wie möglich zu halten. Das sieht man schon an den ersten Zeilen, die eine Reihe von Variablen definieren. Eigentlich ist das gute Praxis, aber die hier definierten Variablen tragen nichtssagende einzelne Buchstaben als Namen. Die ihnen zugewiesenen Werte sind ein Sammelsurium, das unter anderem aus Compiler-Flags (-fPIC -DPIC -fno-lto -ffunction-sections -fdata-sections), regulären Ausdrücken (^pic_flag=\" -fPIC -DPIC\"$) und Code-Fragmenten (__get_cpuid() besteht. Zwei Variablen verweisen auf die manipulierten Testdateien (p="good-large_compressed.lzma" und U="bad-3-corrupt_lzma2.xz"). Der Code wurde aus diesen Dateien extrahiert, aber offenbar wird er auch mit diesen Dateien arbeiten.

Immer mehr Wissen. Das digitale Abo für IT und Technik.

Jetzt bitte leise: AirPods 4 mit ANC im Test

Erstmals gibt es günstigere AirPods mit aktiver Geräuschunterdrückung. Doch wie gut funktioniert das mit bei den wenig abdichtenden Einsteigermodellen?

Microsoft Flight Simulator 2024 ausprobiert: Karriere, Missionen und Top-Grafik

Der "Microsoft Flight Simulator 2024" soll neben Sim-Fans auch Spieler und "digitale Touristen" erreichen. Wir haben die neue Karriere ausprobiert.

Pornografische VR-Spiele im Test: Wie interaktiv sie wirklich sind

Pornografische Spiele versprechen interaktiven Sex in der virtuellen Realität. Wir finden heraus, was sie wirklich können.

35-mm-Festbrennweiten Objektive von Canon und Nikon im Test

Canon und Nikon haben neue 35-Millimeter-Festbrennweiten vorgestellt. Obwohl sich beide auf den ersten Blick ähneln, zielen sie auf verschiedene Einsatzgebiete.

How to: Passwortgeschützte Word- und Excel-Dateien entsperren

Sie wollen die Bearbeitungssperre einer Excel-Arbeitsmappe aufheben, haben aber das Kennwort nicht? Wir erklären, wie Sie Excel-Dateien mühelos entriegeln.

VW Golf 1.5 eTSI im Test: Vier- statt Dreizylinder – was bringt das?

VW tauscht den Basisbenziner im Golf: Statt eines Dreizylinders wird ein Vierzylinder mit allerlei technischen Schikanen eingesetzt. Was hat der Kunde davon?

nach oben

Alle Angebote

Newsletter heise-Bot Push Push-Nachrichten

${intro} ${title}