【Hacker News搬运】Xzbot：xz后门的Notes、蜜罐和漏洞演示

hackernews

Title: Xzbot: Notes, honeypot, and exploit demo for the xz backdoor

Xzbot：xz后门的Notes、蜜罐和漏洞演示

Text:

hn link

Url: https://github.com/amlweems/xzbot

该网页是关于一个名为 xzbot 的工具的 GitHub 仓库页面。xzbot 是一个针对 xz 后门 (CVE-2024-3094) 的分析、蜜罐和利用演示工具。

xz 后门是一个利用 openssh 的漏洞，通过一个名为 liblzma 的库实现的远程代码执行 (RCE) 漏洞。该工具包括以下几个部分：

1. 蜜罐：一个伪造的易受攻击的服务器，用于检测利用尝试。
2. ed448 补丁：用于修补 liblzma.so 库，以使用攻击者的 ED448 公钥。
3. 后门格式：后门有效载荷的格式。
4. 后门演示：一个命令行界面，用于触发基于 ED448 私钥的 RCE。

该工具还提供了一个简单的补丁，用于修补 openssh，记录任何使用与后门格式相匹配的公钥 N 的连接尝试。

xzbot 的使用方法包括下载一个后门的 liblzma 共享对象，例如从 https://snapshot.debian.org/package/xz-utils/5.6.1-1 获取。然后运行补丁脚本，修补 liblzma.so.5.6.1。接着，使用修改后的 liblzma.so.5.6.1.patch 共享对象启动 sshd 服务。

该工具还提供了一个示例，展示了如何连接到易受攻击的 SSH 服务器，并运行 id > /tmp/.xz 命令。

总之，xzbot 是一个用于分析和利用 openssh 中 liblzma 库的 RCE 漏洞的工具。

Post by: q3k

Comments:

asveikau: It's pretty interesting that they didn't just introduce an RCE that anyone can exploit, it requires the attacker's private key. It's ironically a very security conscious vulnerability.

asveikau: 它；很有趣的是，他们没有；不要仅仅引入任何人都可以利用的RCE，它需要攻击者；的私钥。它；具有讽刺意味的是，这是一个非常注重安全的漏洞。

AlexanderTheGr8: Is there any progress on identifying the attacker? This would make it much easier to find out it this was really a state-sponsored attack.<p>If this backdoor can be classified as a crime, github logs can identify the IP/location/other details of the attacker which is more than enough to identify them, unless their OPSEC is perfect, which it almost never is (e.g. Ross Ulbricht).

AlexanderTheGr8: 在识别攻击者方面有进展吗？这将使我们更容易发现这实际上是一次国家资助的袭击<p> 如果这个后门可以被归类为犯罪，github日志可以识别IP；位置；攻击者的其他细节，这足以识别他们，除非他们的OPSEC是完美的，而这几乎从来都不是（例如Ross Ulbricht）。

miduil: Super impressed how quickly the community and in particular amlweems were able to implement and document a POC. If the cryptographic or payload loading functionality has no further vulnerabilities, this would have been also at least not introducing a security flaw to all the other attackers until the key is broken or something.<p>Edit: I think what's next for anyone is to figure out a way to probe for vulnerable deployments (which seems non-trivial) and also perhaps possibly ?upstreaming? a way to monitor if someone actively probes ssh servers with the hardcoded key.<p>Kudos!

miduil: 超级印象深刻的是，社区，尤其是amlwem能够以如此之快的速度实现和记录POC。如果加密或有效负载加载功能没有进一步的漏洞，那么在密钥被破坏之前，这至少不会给所有其他攻击者带来安全漏洞<p> 编辑：我觉得什么；对任何人来说，下一步都是找出一种方法来探测易受攻击的部署（这似乎不是微不足道的），也许还有可能？上游？一种监视是否有人使用硬编码密钥主动探测ssh服务器的方法<p> 太好了！

cgh: Comment I saw on Ars:<p>>Interestingly enough, "Jia Tan" is very close to 加蛋 in Mandarin, meaning "to add an egg". Unlikely to be a real name or a coincidence.

cgh: 我在Ars上看到的评论：<p>&gt；有趣的是；贾谈&quot；非常接近加蛋 在普通话中，意思是“；加一个鸡蛋”；。不太可能是真名或巧合。

acdha: Has anyone tried the PoC against one of the anomalous process behavior tools? (Carbon Black, AWS GuardDuty, SysDig, etc.) I’m curious how likely it is that someone would have noticed relatively quickly had this rolled forward and this seems like a perfect test case for that product category.

acdha: 是否有人尝试过针对异常流程行为工具的PoC？（炭黑、AWS GuardDuty、SysDig等）我很好奇，如果这项技术向前发展，有人会相对较快地注意到这一点的可能性有多大，这似乎是该产品类别的完美测试案例。