2023-09-24 00:47發(fā)布更新：添加 FDM 團(tuán)隊(duì)更新后的更新詭藍(lán)調(diào)查結(jié)果。上次更新時(shí)間為：2023-09-16 12:35

2023-09-16 12:35發(fā)布更新：添加 FDM 團(tuán)隊(duì)更新后的知名調(diào)查結(jié)果。原文發(fā)布時(shí)間為：2023-09-15 00:18

更新 1：據(jù) FDM 團(tuán)隊(duì)更新后的免費(fèi)武漢青山同城約附近小姐上門外圍電vx《134-8006-5952》提供外圍女上門服務(wù)快速選照片快速安排不收定金面到付款30分鐘可到達(dá)調(diào)查結(jié)果，黑客利用 FDM 網(wǎng)站腳本中的下載漏洞引入了惡意文件，用于修改 Linux 版的被黑下載頁(yè)面。溯源后發(fā)現(xiàn)，年多這個(gè)修改過(guò)的才被頁(yè)面可以追溯到 2020 年 FDM 的項(xiàng)目備份數(shù)據(jù)，其中包含一種算法用來(lái)對(duì)用戶訪問(wèn)進(jìn)行過(guò)濾。發(fā)現(xiàn)

這個(gè)例外列表包括 Bing 和 Google 相關(guān)的到尾都吊點(diǎn)網(wǎng)子域，也就是更新詭藍(lán)說(shuō)通過(guò) Bing 和 Google 搜索 FDM 進(jìn)入 FDM 官網(wǎng)下載的用戶，安裝包不會(huì)被篡改。知名武漢青山同城約附近小姐上門外圍電vx《134-8006-5952》提供外圍女上門服務(wù)快速選照片快速安排不收定金面到付款30分鐘可到達(dá)相反，免費(fèi)如果直接通過(guò)網(wǎng)址訪問(wèn) FDM 則有可能被重定向到釣魚網(wǎng)站。下載

更新 2：FDM 被黑事件后續(xù)：開(kāi)發(fā)團(tuán)隊(duì)發(fā)布腳本可以檢測(cè)后門 建議 Linux 用戶下載檢測(cè)

流行的被黑免費(fèi)下載器 Free Download Manager 日前被卡巴斯基實(shí)驗(yàn)室發(fā)現(xiàn)安全問(wèn)題，F(xiàn)DM 官網(wǎng)網(wǎng)站遭到入侵。年多比較搞笑的是黑客在 2020 年就已經(jīng)拿下 FDM 官網(wǎng)，但 FDM 團(tuán)隊(duì)直到現(xiàn)在收到卡巴斯基通報(bào)后才發(fā)現(xiàn)這個(gè)問(wèn)題，而且這件事從頭到尾都是莫名其妙的。

一次有些吊詭的入侵事情：

卡巴斯基實(shí)驗(yàn)室在研究中發(fā)現(xiàn)，一個(gè)老牌的惡意軟件大約在 2020 年利用 FDM 服務(wù)器的漏洞成功入侵，隨后攻擊者篡改了 FDM for Linux版的下載地址，將 Linux 用戶重定向到 deb [.] fdmpkg [.] org 網(wǎng)站，從這里下載帶有后門的 FDM。

由于多數(shù) Linux 用戶并不會(huì)安裝殺毒軟件，因此這個(gè)惡意軟件包一直沒(méi)有被發(fā)現(xiàn)，直到 2022 年某個(gè)時(shí)候 FDM 對(duì)自己的服務(wù)器進(jìn)行了一次例行維護(hù)，在完全不知情的情況下解決了漏洞。

被摧毀后黑客也沒(méi)進(jìn)一步動(dòng)作，按理說(shuō)只要黑客愿意，積極發(fā)掘肯定還能找到漏洞，但黑客沒(méi)有這么做，然后這件事就這么過(guò)去了。

要不是卡巴斯基實(shí)驗(yàn)室發(fā)現(xiàn)了這種情況，F(xiàn)DM 團(tuán)隊(duì)至今都蒙在鼓里，由于漏洞早就被動(dòng)修復(fù)了，所以 FDM 唯一能做的就是發(fā)個(gè)安全公告通知那些在 2020 年～2022 年之間下載過(guò) FDM for Linux 的用戶。

黑客的目的是什么？

一般來(lái)說(shuō)，拿下一個(gè)知名軟件的服務(wù)器，不去給 Windows 投毒，而是給 Linux 用戶投毒，那說(shuō)明黑客目的肯定不簡(jiǎn)單，畢竟就用戶體量來(lái)說(shuō) Windows 用戶數(shù)要遠(yuǎn)遠(yuǎn)高于 Linux。

而攜帶后門的 FDM for Linux 具有多種功能，包括收集系統(tǒng)信息、瀏覽歷史記錄、竊取保存的密碼、竊取加密貨幣錢包文件、竊取各類云服務(wù)包括 AWS/GCP/Oracle Cloud/Azure 的各類憑證等。

至少?gòu)目ò退够姆治鰜?lái)看，黑客目標(biāo)就是收集數(shù)據(jù)，但要竊取這些數(shù)據(jù)顯然也應(yīng)該瞄準(zhǔn) Windows 用戶。

藍(lán)點(diǎn)網(wǎng)猜測(cè)黑客是不是認(rèn)為使用 Linux 的用戶都是 IT 管理員或者高級(jí)用戶之類的，竊取他們的加密貨幣錢包可以直接偷錢，竊取云服務(wù)憑證可以拿來(lái)挖礦？不得不說(shuō)這個(gè)猜測(cè)還是太牽強(qiáng)了，我們實(shí)在是想不到黑客到底是什么目的。

還有一種猜測(cè)是黑客故意設(shè)置了某些過(guò)濾條件，僅當(dāng)用戶觸發(fā)條件后才會(huì)被成為目標(biāo)然后被重定向到釣魚站點(diǎn)下載后門版 FDM。

但無(wú)論是哪種猜測(cè)都說(shuō)明黑客目的絕對(duì)不簡(jiǎn)單，不然拿下 FDM 感染個(gè)幾萬(wàn)到十幾萬(wàn)臺(tái)設(shè)備應(yīng)該是很輕松的。

卡巴斯基這件事也說(shuō)明了一些問(wèn)題：

這件事從頭到尾來(lái)看都非常莫名其妙，別的不說(shuō)，黑客為什么會(huì)放棄繼續(xù)攻擊呢？從黑客構(gòu)建的 bash 來(lái)看，黑客使用俄語(yǔ)和烏克蘭語(yǔ)，而且在攻擊期間比較活躍，從代碼注釋來(lái)看三天就更新了三個(gè)版本，沒(méi)加注釋的版本估計(jì)很多。

反正這件事在 2022 年某個(gè)時(shí)候也稀里糊涂的結(jié)束了，只不過(guò)卡巴斯基認(rèn)為這種情況并不好，因?yàn)橐粋€(gè)流行的 Linux 軟件被黑這么久竟然都沒(méi)人發(fā)現(xiàn)。

最關(guān)鍵的是什么呢？在 Reddit 論壇，其實(shí)有不少 Linux 用戶發(fā)現(xiàn)了貓膩，這些用戶發(fā)現(xiàn)了后門版 FDM 攜帶的惡意腳本，也有用戶把腳本內(nèi)容貼出來(lái)了，甚至還有用戶指出這個(gè)腳本是惡意的。

但最終這件事也就止步于十幾個(gè)帖子的討論，不知道是這些用戶沒(méi)有聯(lián)系過(guò) FDM 反饋問(wèn)題還是聯(lián)系了 FDM 并沒(méi)有得到回應(yīng)。

所以卡巴斯基才會(huì)覺(jué)得這種情況并不好：用肉眼檢測(cè) Linux 計(jì)算機(jī)上正在進(jìn)行的網(wǎng)絡(luò)攻擊可能相當(dāng)困難，因此 Linux 機(jī)器無(wú)論是 PC 還是服務(wù)器，都應(yīng)該安裝可靠的安全軟件。

也有中國(guó)用戶中招：

本次發(fā)現(xiàn)的病毒樣本實(shí)際上是個(gè)老牌病毒了，這個(gè)名為 Crond 的病毒活躍時(shí)間至少可以追溯到 2013 年，Crond 屬于 Bew 后門的變種版本。

卡巴斯基的遙測(cè)數(shù)據(jù)顯示，Crond 受害者遍布全球，包括中國(guó)、俄羅斯、巴西、沙特等都有不少中招的用戶。

但矛盾的是為什么 FDM 被感染了三年都沒(méi)發(fā)現(xiàn)問(wèn)題呢？卡巴斯基認(rèn)為主要應(yīng)該還是 Linux 惡意軟件不太容易被發(fā)現(xiàn)、中招的用戶也太少，如果是大面積中招，那安全軟件應(yīng)該能監(jiān)測(cè)到短時(shí)間內(nèi)出現(xiàn)的大量異常流量。

(責(zé)任編輯：焦點(diǎn))