Gå til innhold

Nytt Linux-«virus» graver etter kryptovaluta, stjeler rotpassord og setter antivirus ut av spill

AfterGlow

Av AfterGlow
i Diskuter artikler (Digi.no)

Anbefalte innlegg

Videoannonse

Videoannonse
Annonse
GeirGrusom

GeirGrusom

Skrevet
Skrevet

Trojaner har med payload å gjøre. Trojansk programvare vil snike inn komponenter for fjernstyring. I dette tilfellet laster den ned og installerer Linux.BackDoor.Gates.9 

Dette er derimot en orm ettersom den ikke sprer seg ved å infisere programvare, men gjennom nettverket, i dette tilfellet over SSH ved at den forsøker å koble seg til alle kjente verter i known hosts fila, pluss at den leter etter tildigere SSH tilkoblinger i bash historikken.

  • Liker 1
Lenke til kommentar
Gjest Slettet+5132

Gjest Slettet+5132

Skrevet
Skrevet

Virker vel litt som om dette har begrenset omfang? SSH-kopiering er vel for å snike seg inn på diverse klustere brukerne har adgang til, men selv der pleier man kun å få adgang til login-noder uten å gå igjennom køen, og der blir dette lett oppdaga.

Lenke til kommentar
hernil

hernil

Skrevet
Skrevet

 

Deretter utnytter programmet et par såkalte «privilege escalation»-hull, som i sin tur gir rotprivilegium og full tilgang til operativsystemet.

Merk at disse hullene er gamle, godt kjente, og patchet for over to år siden (eller over fem i det ene).

 

Så så lenge du ikke kjører ukjent kode på et system som ikke har vært oppdatert på over to år (eller et sånt system har ssh-tilgang til dine klienter) så har du heldigvis lite å frykte :) 

Lenke til kommentar
pitrh

pitrh

Skrevet
Skrevet

Jeg synes beskrivelsen halter litt, og det er ikke alltid veldig god overensstemmelse mellom beskrivelsene i teksten og de siterte kodesnuttene.

 

Men ut fra den generelle beskrivelsen ser det ut som at dette har mulighet til å gjøre ugang hvis

 

1) brukeren laster ned et script på noe over tusen linjer og kjører det (bonuspoeng for å kjøre som root)

 

2) systemet er såpass utdatert at det ikke er patchet for diverse privilegie-eskaleringsbugs som det finnes CVE-ID og fikser for

 

Det finnes sannsynligvis Linux-bokser der ute som er så dårlig holdt at dette kan gjøre skade og kaste bort strøm på mining.

 

Den rasjonelle måten å håndtere slikt på er

 

1) PATCH YOUR SHIT (ref 2 over)

2) ikke kjør script du ikke kjenner innholdet i (ref 1 over).

 

Så ja, dette er skadevare. Men en må være mer enn gjennomsnittlig tungnem og ha større privilegier enn en i utgangpunktet burde hatt for at dette faktisk skal virke etter hensikten.

  • Liker 1
Lenke til kommentar
tommyb

tommyb

Skrevet
Skrevet

Jeg synes beskrivelsen halter litt, og det er ikke alltid veldig god overensstemmelse mellom beskrivelsene i teksten og de siterte kodesnuttene.

 

Men ut fra den generelle beskrivelsen ser det ut som at dette har mulighet til å gjøre ugang hvis

 

1) brukeren laster ned et script på noe over tusen linjer og kjører det (bonuspoeng for å kjøre som root)

 

2) systemet er såpass utdatert at det ikke er patchet for diverse privilegie-eskaleringsbugs som det finnes CVE-ID og fikser for

 

 

 

 

Ja, jeg synes også beskrivelsen halter litt. Og dermed mener jeg du tolker bare deler av beskrivelsen. Denne delen her passer ikke inn: 

 

 

Programmet sprer seg på egen hånd gjennom en funksjon som samler informasjon om alle serverne som den infiserte verten er koblet til via SSH-protokollen (Secure Shell).

 

Hvis dette stemmer, at den plukker opp informasjon (adresse, bruker, autentisering) på omliggende servere, så faller punkt 1) bort: 

 

 

 

1) brukeren laster ned et script på noe over tusen linjer og kjører det (bonuspoeng for å kjøre som root)

 

--- eller programmet selv laster opp et script og kjører det 

 

og i neste ledd faller også 2) bort: 

 

 

 

2) systemet er såpass utdatert at det ikke er patchet for diverse privilegie-eskaleringsbugs som det finnes CVE-ID og fikser for

--- eller man har vært logget på med root-privilegier fra en allerede infisert maskin

 

Så, ut fra tolkningen av artikkelen her - selv om man heller burde tolke kilden - så vil "programmet" i verste fall kunne laste opp ting som root til ikke-utdaterte servere...

Lenke til kommentar
Gjest Slettet+5132

Gjest Slettet+5132

Skrevet
Skrevet

Ja, jeg synes også beskrivelsen halter litt. Og dermed mener jeg du tolker bare deler av beskrivelsen. Denne delen her passer ikke inn: 

 

 

Hvis dette stemmer, at den plukker opp informasjon (adresse, bruker, autentisering) på omliggende servere, så faller punkt 1) bort: 

 

 

 

og i neste ledd faller også 2) bort: 

 

 

 

Så, ut fra tolkningen av artikkelen her - selv om man heller burde tolke kilden - så vil "programmet" i verste fall kunne laste opp ting som root til ikke-utdaterte servere...

 

Det sprer seg derimot kun til maskiner man selv hadde tilgang til, dog! Den sjekker kun known_hosts, altså servere brukeren tidligere har logget seg inn til, og bruker såvidt jeg kan se kun ssh-nøkler som allerede var på systemet?

Lenke til kommentar
tommyb

tommyb

Skrevet
Skrevet

Det sprer seg derimot kun til maskiner man selv hadde tilgang til, dog! Den sjekker kun known_hosts, altså servere brukeren tidligere har logget seg inn til, og bruker såvidt jeg kan se kun ssh-nøkler som allerede var på systemet?

 

Fortsatt etter den norske oversettelsen, er det slik jeg også tolker det. Det kan dog være nok at man er utdatert på en perifer maskin dersom den perifere maskinen jevnlig kobler til en viktig og oppdatert server som root. 

Lenke til kommentar

Opprett en konto eller logg inn for å kommentere

Du må være et medlem for å kunne skrive en kommentar

Opprett konto

Det er enkelt å melde seg inn for å starte en ny konto!

Start en konto

Logg inn

Har du allerede en konto? Logg inn her.

Logg inn nå
Gå til emneliste

  • Hvem er aktive   0 medlemmer

    • Ingen innloggede medlemmer aktive
×
×
  • Opprett ny...