https://www.informationsecurity.com.tw/Seminar/2024_TNSP/
https://www.informationsecurity.com.tw/Seminar/2024_TNSP/

解決方案

緩解不易!免費XZ Utils後門掃描器上線

2024 / 04 / 03
編輯部
緩解不易!免費XZ Utils後門掃描器上線
韌體安全公司Binarly推出免費線上掃描工具,快速找出Linux系統中被植入的XZ Utils後門-CVE-2024-3094。
 
攻擊者利用開源XZ資料壓縮庫的更新版本,暗中加入惡意程式碼,影響許多Linux版本。發現XZ後門之後,官方修補方案是降級到無後門的 XZ Utils 5.4.6 版本,並檢查系統有無遭駭客滲透的跡象。但傳統的字串比對和雜湊檢查容易疏漏,難以有效偵測更複雜和隱蔽型的惡意程式。
 
相關文章:XZ Utils後門事件更新:那些Linux版本受影響? 
 
Binarly表示,到目前為止,在威脅緩解工作中所採用的方法,例如位元組字串比對、檔案雜湊阻擋清單和YARA規則,都可能導致誤判,而觸發大量警報疲勞。
 
為解決此問題,Binarly開發了一款專用掃描器,可用於該特定函式庫,以及任何攜帶相同後門的檔案。
 
Binarly的偵測工具是以靜態分析方式詳檢二進位檔案,找出GNU間接函式呼叫(IFUNC)中的異常轉換。具體來說,該掃描器檢查在惡意IFUNC解析器植入過程中被標記為可疑的轉換。GCC編譯器的IFUNC屬性允許開發人員根據各種準則,如處理器類型,在執行時選擇同一函數的多個版本。
 
Binarly解釋,XZ後門使用的核心技術之一是GNU間接函數(IFUNC)讓GCC編譯器可以在執行間接函數呼叫。該後門利用這個機制,透過修改IFUNC呼叫來攔截或掛鉤執行程序,從而插入惡意程式碼。
 
Binarly的掃描器涵蓋各種已知和未知型態後門程式,辨識能力遠勝一般字串辨識或其他規則檢查。它不僅可追蹤XZ Utils事件,未來任何類似的Linux供應鏈攻擊也都能立即監控到。
 
後門掃描器可在xz.fail線上取得,用戶可上傳二進位檔案進行無限制免費檢查。此外,為了滿足需要大量掃描的用戶需求,Binarly也於4月2日開始提供免費的API。

本文轉載自bleepingcomputer。