De backdoor in datacompressietool XZ die eerder dit jaar werd ontdekt maakt gebruik van x86-gebaseerde steganografie voor het verbergen van de public key en past een anti-replay feature toe om te voorkomen dat de communicatie naar de backdoor wordt onderschept en opnieuw gebruikt. Dat meldt antivirusbedrijf Kaspersky in een analyse.
XZ is een tool voor het inpakken en uitpakken van bestanden en is in allerlei Linux-distributies aanwezig. Een aanvaller probeerde over een lange tijd het vertrouwen te winnen van de maintainer van het XZ-project, om vervolgens een backdoor aan de code toe te voegen. Na de ontdekking van de backdoor werd al gauw duidelijk dat die zeer geavanceerd was.
Om de payload data te ontsleutelen en verifiëren gebruikt de backdoor een public key die het uit de binary haalt. De onderzoekers van Kaspersky wisten in eerste instantie niet hoe de public key werd gegenereerd. "Het leek alsof de backdoormakers code hadden ontwikkeld die voor de private key een correcte public key genereerde, wat onmogelijk zou moeten zijn." Verder onderzoek naar de backdoorcode wees uit dat keys via een reguliere procedure werden gegenereerd.
De aanvallers gebruikten zelfgemaakte steganografie in de x86-code om een willekeurig bericht te verbergen, wat in dit geval de public key was. "De public key-informatie was verspreid binnen de binary code binnen specifieke geldig instructies. De methode om de key te recoveren leek op de gadetscanningtechniek in een return-oriented programming (ROP) binary exploitation scenario", aldus de onderzoekers van Kaspersky, die in de analyse laten zien hoe dit in zijn werk gaat.
Verder blijkt dat de backdoor, door de loggingfunctie te manipuleren, ook de logs verbergt waarin ongeautoriseerde verbindingen naar de ssh-server staan en zijn er maatregelen genomen om replay-aanvallen te voorkomen. Daarbij weten onderzoekers of aanvallers de backdoorcommunicatie op te vangen en bij een andere server opnieuw af te spelen. "we kunnen concluderen dat deze backdoor inderdaad een zeer geraffineerde dreiging is", aldus de onderzoekers. Ze stellen dat verschillende eigenschappen de backdoor uniek maken, zoals de manier waarop die public key-informatie in de binary code is ingebed.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.