RedHack: Hrozby malware

Print Friendly

Dnes to bude taký povzdych nad objektivitou informácií k malware na Linuxových distribúciach.

Po dlhšom čase sa zas rozbehla kampaň na veľké diery v OS postavenom na Linusovom kerneli a strašenie ako nebezpečný je OS Linux.
Najhoršie na tom je, že vo väčšine prípadov to nemá spoločné nič s veľkými distribúciami a ani s jadrom ako trakým.
Ide vždy buď o chybu implementácie niečoho (ako napríklad OpenSSL), alebo nekoretné úpravy výrobcu zariadenia.

Hlavne sa šíria informácie typu, že vírus XYZ napadá linux a jeho jadro, čo logická hlúposť, môže napadnúť jadro alebo distribúciu, nie linux :-).
Taktiež si väčšinou šíritelia a propagátori bezpečného OS Dvere X nedajú ani len toľko roboty aby si pozreli kód daného vírusu.

Napríklad nový trojan Linux.Proxy.10, ktorý napadá počítače a zariadenia využívajúce linux kernel s defaultným menom a heslom. Napríklad routery Tp-Link s meno/heslo Admin/admin, alebo admin/bez hesla. Ale to nie je chyba OS, ale chyba užívateľa.
Taktiež sa snaží vytvoriť SOCKS5 server na počítačoch a skúša meno root, adm, admin a heslá 12345678, 123456 či toor, root, adm, admin a podobne.
Dôvodom prečo to robí ale nie sú desktopy a primárne linux ale zariadenia s upravenými a odľahčenými distribúciami, ako kamery, kiosky, senzory a podobne. Čiže zariadenia pre IoT.
Následne vyhľadá v blízkosti počítače a nainštaluje na ne Backdoor.TeamViewer49 a zo zariadenia sa zmaže.

RedHack: Bleeping Computers k nemu majú pekne spravenú nápovedu.

A pre aký OS je tento trojan nebezpečný?
Stačí sa pozrieť na časť zdrojového kódu:

Section {Main}
szsubKey „SOFTWARE\Microsoft\Windows\CurrentVersion\Run“
szvalueName „5s“
szpgkey „rtpredimpku0hrq1le0d4cwqw7pcl97dv“
szadminkey „i9igmhtliih115b5xlbpcwwc17qlbhse4“
SectionEnd

Samozrejmosťou je nezachytiteľnosť na OS Windows.
jediný spôsob ako to zistiť je manuálne vyhľadanie niektorého z nasledujúcich súborov.
5s.exe— čo je program TeamViewer
avicap32.dll— trojan zabezpečujúci komunikáciu, virustotal preverí legalitu (je digitálne podpísaný Microsoftom)
nv8moxflu— konfiguračný súbor (otvoriť sa dá textovým editorom) ktorý bude obsahovať aj linku na C&C server, napríklad http://111.111.111.1 .

Trojan môže cez HTTPS vykonávať nasledovné príkazy:

disconnect;
idle;
updips;
connect na konkrétny ip—host server;
auth_switch;
auth_ip;
auth_login;
auth_pass—password;

Ako vidieť evidentne pripojí počítač na špecifický C&C server a do botnetu.
A ako čerešnička na torte je nezistiteľný najpoužívanejšími antivírmi, keďže ide v podstate o bezpečnú aplikáciu TeamViewer.

Na strane druhej, sa vôbec nehovorí o nebezpečných trojanoch ktoré sú pre Linux. Jedným z dôvodov je, že ani „značky“ ako ESET, BitDefender či SOPHOS nechytajú až 95% týchto škodlých kódov písaných pre linuxovú platformu.
Dôvod je jednoduchý.
Filozofia OS na POSIX a Windows je odlišná. Pokiaľ by sa výrobcovia AV riešení prispôsobili POSIXu tak majú problém s detekciou na Windows, a to je dojná krava.

Keď sa pozrieme na rozdiely medzi Win a *nix malware, vidieť od začiatku rozdiel už pri takej drobnosti ako je nastavenie lokality na disku pre zápis:
Zápis v linuxe:

$HOME/$DATA/.mozilla/firefox/profiled
$HOME/$DATA/.dropbox/DropboxCache

Zápis premennej
$DATA = QStandardPaths::writableLocation(QStandardPaths::GenericDataLocation)

Zápis Win API:

C:\Users\user_name\AppData\Local\Temp\5569457308_ChromMgmts.exe.exe
C:\Users\user_name\AppData\Local\Temp\cmd.exe

Taktiež sa nehovorí o tom, že skupiny „hackerov“ využívajú ZeroDay linuxových zraniteľností, ktoré sa nehlásia v prospech istých skupín ako Pawn Storm, ktoré sa vyslovene zameriavajú na tvorbu malwaru pre Unix, Linux a BSD. A ich cieľom sú elektrárne, finančné domy a nadnárodné korporácie.

Čerešničkou na torte a samostatnou kapitolou sú telefóny, kde väčšina malwaru je inštalovaná priamo užívateľom.

Pokiaľ chcete sledovať malware a aké chyby sa využívajú, je celkom zaujimavý LinuxSecurity

 

Štítky .Záložka pro permanentní odkaz.

6 reakcí na RedHack: Hrozby malware

  1. Ukomir říká:

    Toto som chcel vedieť.Som najprv myslel,že ten Linux.Proxy je iba nejaký výmyseľ.

    • Profile photo of redhawk75redhawk75 říká:

      Nie je to realny trojan. Nie je sice nebezpecny destruktivne ale zato je nebezpecny tym, zr pomaha sirit infektory na Microsoft platformu
      V podstate sluzi len ako uploader 🙂

  2. BAD říká:

    Ahoj opisal si tu moznu virusovu hrozbu pre linuxy: (Linux.Proxy.10, Backdoor.TeamViewer49, avicap32.dll)
    Pises aj: (ani „značky“ ako ESET, BitDefender či SOPHOS nechytajú až 95% týchto škodlých kódov písaných pre linuxovú platformu)
    Napis prosim ta ako sa ma bezny uzivatel – „Ubuntu – Klikac“ pred nimi ochranit.

    • takyradějianonymně říká:

      … vždyť to tam máš černé na bílém?!
      Obrana je a v uvedeném případě právě v tom aby jsi tím klikačem nebyl a zadal si vlastní jména a hesla, asi to jméno a heslo po tobě abys vyplnil důvodně Linux tu a tam přece chce a ne abys odkliknul „nic“ tedy vlastně co je nastavené standard.
      V tom ostatním a co teprve přijde tedy co je úplně nové a čím dál složitěji a na více kroků vymyšlené tak se s tou hrozbou musíš naučit žít (a opět nebýt klikačem) a zatím to vypadá že pořád to riziko s Linuxem bude významně menší než pod Windows které je středem zájmu.
      Nebo budeš doufat v nějaký spuštěný antivir ale zase jen doufat a že se specializuje s hledáním havěti jak pro Windows tak pro Linux a že to dělá v obou případech profesionálně včetně právě vyhledávání i těch nejnovějších hrozeb. Jeho nalezení je však složité (pod Linuxem) a jsi odkázán jen na minulost tj. na minulé srovnávací testy ale jako při investování, tak úspěšná minulost ti nezaručí tu úspěšnou budoucnost jen možná napoví.
      Dál to nemá smysl rozebírat nebo to tu bude zase na několik stránek a stoupat bude adrenalin 🙂

    • Profile photo of redhawk75redhawk75 říká:

      No branit sa da jedine tak, ze sa nebude kazda posta otvarat a klikat sa na linky pokial nie je jasne kam to ide. vzdy je dost naznakov ze je to falosna sprava.

      Dovod preco AV na linuxoch maju problem s detekciou nie je v kvalite, ale v sposobe detekcie. Ako som pisal v blogu: Filozofia OS na POSIX a Windows je odlišná. Pokiaľ by sa výrobcovia AV riešení prispôsobili POSIXu tak majú problém s detekciou na Windows. Problem je v rieseni OS.Linux.Proxy.10 napada slabe meno a heslo, inak to nevie.
      Windows Backdoor.TeamViewer49 sa vie sirit aj inak, vie priamo napadnut Windows, napriklad cez Flash alebo cez macro v exceli.
      De facto sa vacsina skodliveho kodu na linux dostane skor chybou uzivatela ako chybou linuxovej distribucie.

Napsat komentář

Vaše emailová adresa nebude zveřejněna.