韌體安全公司Binarly推出免費線上掃描工具,快速找出Linux系統中被植入的XZ Utils後門-CVE-2024-3094。
攻擊者利用開源XZ資料壓縮庫的更新版本,暗中加入惡意程式碼,影響許多Linux版本。發現XZ後門之後,官方修補方案是降級到無後門的 XZ Utils 5.4.6 版本,並檢查系統有無遭駭客滲透的跡象。但傳統的字串比對和雜湊檢查容易疏漏,難以有效偵測更複雜和隱蔽型的惡意程式。
相關文章:XZ Utils後門事件更新:那些Linux版本受影響?
Binarly表示,到目前為止,在威脅緩解工作中所採用的方法,例如位元組字串比對、檔案雜湊阻擋清單和YARA規則,都可能導致誤判,而觸發大量警報疲勞。
為解決此問題,Binarly開發了一款專用掃描器,可用於該特定函式庫,以及任何攜帶相同後門的檔案。
Binarly的偵測工具是以靜態分析方式詳檢二進位檔案,找出GNU間接函式呼叫(IFUNC)中的異常轉換。具體來說,該掃描器檢查在惡意IFUNC解析器植入過程中被標記為可疑的轉換。GCC編譯器的IFUNC屬性允許開發人員根據各種準則,如處理器類型,在執行時選擇同一函數的多個版本。
Binarly解釋,XZ後門使用的核心技術之一是GNU間接函數(IFUNC)讓GCC編譯器可以在執行間接函數呼叫。該後門利用這個機制,透過修改IFUNC呼叫來攔截或掛鉤執行程序,從而插入惡意程式碼。
Binarly的掃描器涵蓋各種已知和未知型態後門程式,辨識能力遠勝一般字串辨識或其他規則檢查。它不僅可追蹤XZ Utils事件,未來任何類似的Linux供應鏈攻擊也都能立即監控到。
後門掃描器可在xz.fail線上取得,用戶可上傳二進位檔案進行無限制免費檢查。此外,為了滿足需要大量掃描的用戶需求,Binarly也於4月2日開始提供免費的API。
本文轉載自bleepingcomputer。