3518 подписчиков
#news По следам бэкдора в XZ Utils в открытый доступ выложили сканер для поиска импланта в бинарниках Linux. Сканер заточен под конкретную библиотеку и любые файлы с бэкдором. Логика простая: имплант явно конторский и неодноразовый, так что его могли деплоить где-то ещё или частично использовать в других операциях.
Сканер работает на статистическом анализе бинарников для определения подмены переходов в IFUNC. Имплант как раз изменяет вызовы IFUNC для внедрения вредоноса. Скан также идёт по различным точкам цепочки поставок в расчёте, что он может быть не только в XZ. Инструмент доступен здесь без ограничений. Разработчики также предоставили API для массовых проверок бинарников. А если от слов «бэкдор в SSH» начинает лихорадить, сканер вдвойне полезен — поможет немного успокоить свою красноглазую паранойю.
Около минуты
3 апреля 2024