Китайское подразделение безопасности Qihoo 360 Netlab обнаружило вредоносное ПО для бэкдора Linux, которое оставалось незамеченным в течение трех лет.
Фирма сообщила, что ее система мониторинга ботов обнаружила 25 марта подозрительную программу ELF, которая взаимодействовала с четырьмя доменами управления и контроля (C2) через порт TCP HTTPS 443, хотя используемый протокол на самом деле не является TLS / SSL.
«При внимательном рассмотрении образца выяснилось, что это бэкдор, нацеленный на системы Linux X64, семейство, которое существует уже не менее трех лет», — сказали исследователи Netlab Алекс Тьюринг и Хуэй Ван в своем заключении.
Подпись MD5 для файла systemd-daemon впервые появилась в VirusTotal 16 мая 2018 года. Два других файла с именами systemd-daemon и gvfsd-helper обнаружили в течение следующих трех лет.
Связь с systemd, широко используемым менеджером системы и сеансов для Linux, могла быть выбрана авторами программ, чтобы уменьшить вероятность того, что вредоносный код будет замечен администраторами, просматривающими журналы и списки процессов.
Netlab окрестил семейство вредоносных программ RotaJakiro, потому что оно ведет себя по-разному в зависимости от того, запущено ли в учетной записи root или нет. Jakiro — это отсылка к персонажу из игры Dota 2. Вредоносная программа пытается скрыть себя с помощью нескольких алгоритмов шифрования. Она полагается на AES для защиты своих собственных ресурсов и на комбинацию AES, XOR и ротационного шифрования вместе со сжатием ZLIB, чтобы скрыть связь с сервером. Домены C2, с которыми связывается вредоносное ПО, были зарегистрированы через Web4Africa в декабре 2015 года и полагаются на хостинг, предоставленный Deltahost PTR в Киеве.
Вредоносная программа не является эксплойтом; скорее, это полезная нагрузка, открывающая бэкдор на целевой машине. Она может быть установлена ничего не подозревающим пользователем, злоумышленником или через троянскую программу-дроппер.
Согласно данным Netlab, RotaJakiro поддерживает 12 команд, в том числе «Украсть конфиденциальную информацию», «Загрузить информацию об устройстве», «Доставить файл / подключаемый модуль» и три варианта «Запустить подключаемый модуль».
Фирма по безопасности видит некоторое сходство между RotaJakiro и ботнетом Torii, обнаруженным Avast в сентябре 2018 года.
Catslinger
Плашка "перевод" где? Дословный клон текста с Реддита.
И что тут, что там, отсутствует главное: где его нашли? Как он распространяется? Я тоже написал малварь на баше и её уже 10 лет не могут обнаружить, потому что я её никуда не ставил. Линукс защищён от угроз изнутри примерно как Win95, это не секрет. Помните даже карикатуру: "Они могут украсть ваши пароли, счета, видеозаписи, но нет! Они не удалят ваш драйвер GPU!".
amarao
Зависит от того, от какого пользователя вы запускаете софт. У меня (если и приходится) проприетарный софт запускается от отдельного пользователя в firejail.
Catslinger
А у меня в Flatpack или bubblewrap. Потому что от отдельного пользователя звук глючит, а мне важно. Разных мер много, они эффективны, но суть в том, что их именно что надо активно применять, а по умолчанию всё голое, как наш король.
На серверах это менее заметно — там давно всё разделено по отсекам с минимальными привилегиями: сначала по пользователям, потом по контейнерам. Софт, который запускается от рута — происходит из проверенных основных репозиториев. А вот на десктопе всё по другому. Проприетарный софт не так страшен — на него сразу обращаешь внимание и запаковываешь, тем более что он обычно достаточно обособлен сам по себе. А вот как раз хороший софт из всяких АУР-ов, ОБС-ов, и ПИП-ов с НПН-ами — вот его никто не проверяет, никто не контейнеризует. Прорыв малвари, скорее всего, будет откуда-то оттуда.
Точнее, уже был. Но поскольку та малварь писала "Ха-ха, я малварь!" и самоудалялась, особого внимания никто не обратил. А стоило. Вся экосистема Арча, Питона, Ноды живёт на доверии к господам
puzatic96,ihaterednecksиRajah Muhopadhujai <rajah@inphb.in>, если понимаете, о чём я.amarao
На самом деле тут ещё надо понимать, что в GNU/Linux другая модель доверия. Есть мейнтейнеры, которые следят за тем, чтобы не было "чего попало". Классический пример — не нужно прятать контактную книгу thunderbird'а от GIMP'а. Я им обоим доверяю, как пользователь.
А вот pip install и т.д. — это уже на совести пользователя и модель доверия там отсуствует.
alsoijw
Как именно? Возможно, смогу подсказать.
Catslinger
По ссылке — перевод сайта, предназначенного обосрать флатпак. Там типичный фуфлотроллинг: приписываются свойства, которые не заявлялись, и потом доблестно разоблачается их отсутствие. Не все пакеты надёжно энкапсулированы. Ну так те, кому это важно, могут ручками поправить. В одну команду.
Можно к виндоводам пойти и начать их просвещать, что антивирусы — это фуфло и развод, потому что они не всё ловят.
mSnus
Как виндовод спрошу — а разве антивирусы не фуфло и развод?
mSnus
Господа минусующие могли бы обосновать своё мнение? Я за последние лет 10 ни единой ситуации не видел, где он мог бы мне пригодиться. Файрволл — да, антивирус — нет, на крайний случай есть Virus Total.
achekalin
Как-то пришлось переустановить на старый-старый Sun-овский сервер солярку. Родную. С тех дисков, таких же древних. Из интереса.
Пока ОС ставилась (машина смотрела попой в инет, «так получилось»), её успели просканить, взломать и запустить рассылку спама с неё. С Sun-а! С его-то процом и железом (да-да, «как г-гно мамонта» старым!).
Понятно, что ОС была дырява на десятилетия, понятно, что надо было в сеть выводить культурно и с защитой, но сам факт: кто-то и сегодня сканит на уязвимости столь древние, кто-то держит наготове эксплоиты для этого мамонта! Явно, конечно, «повезло», и явно действовал автомат, но…
С Виндой примерно то же: непропатченную вмиг найдут и подберут «ключик к воротам» (это не Sun, это массовая ОС, её найти легко, так что надо просто поискать непропатченную), и ваш «Мой компьютер» быстро станет не совсем вашим. Ок, конечно, винда обычно за шлюзом/файрволлом живет, но каков шанс, что в очередном docx файле не живет очередной вирус, от которого еще нет патча?
Правда, чтобы антивирус от такого защищал — тут скорее вопрос веры. Очевидно, что самошифрование дает вирусу приличные шансы не попасться «свинье Касперского» (как, впрочем, и на VT не засветиться), так что на винде, да не залететь — в силу массовости и сложности ОС и ПО в этом есть элемент везения!
mSnus
С Солярисом понятно, древние ботнеты всё так же живы. Но вирус… в docx… без макросов, которые по умолчанию отключены? Не слышал о таком. Вообще мне очень давно никто из клиентов не присылал файлы с макросами. Это какой-то довольно особенный случай, мне кажется, нет?
Вот если макросы включить по умолчанию и надеяться на антивирус, то да, рано или поздно пролетит что-то, чего ещё нет в базе.
Ладно, допустим, это кейс. А ещё? ))
lostpassword
А ещё корпоративные сети без антивируса сдохнут, причём крайне быстро.
mSnus
Серьёзно, каждому пользователю на комп по антивирусу?
grumbler66rus
Просто кто-то не умеет их готовить.
Про Software restriction policy краем уха слыхал едва ли каждый десятый «системный администратор Windows», про резервное копирование на отдельное устройство — тем более.
Am0ralist
Основная проблема всякого промсофта, что писатели левой ногой в принципе забивают на всё и тупо этот софт с прибором не будет работать, кроме как из под админской учетки, что будет указано во всех их инструкциях. А потому что. Да, чертов прибор стоил несколько миллионов, нет, писать правильно софт под него они не будут, они даже в уи и ошибки работы самого софта годами поправить не могут, чтоб ещё заморачиваться правильным написанием.
В итоге SRP — это круто, но… в реальности требует чуть ли не на каждый комп выделять недели на анализ работоспособности и настройки всех нюансов. И про всякие сетевые диски ещё нужно помнить. Если у вас хотя бы под полсотни уникальных рабочих мест (реально уникальных по набору софта и приборам), и все эти программы нужно обновлять ручками и тестировать работоспособность (привет запреты запусков из темпа, на чем ломаются половина стандартных обновлялок, а уж что в новой версии навертели разрабы вообще не угадаешь), то мне хотелось бы посмотреть в реальности, как все эти вопросы люди легко решали небольшим отделом, попутно выполняя прочие текущие задачи, которых обычно и так хватает на большую часть дня.
mwizard
Запихиваем в docx специальную картинку в формате WMF — en.wikipedia.org/wiki/Windows_Metafile_vulnerability
Или эмбеддим в docx особый OpenType-шрифт — www.cvedetails.com/cve/CVE-2010-2741
mSnus
С WMF патч вышел в 2006-м году, 15 лет назад.
Со шрифтом уязвимы Windows XP / Server 2003 лет 10 назад, и даёт это Elevation of Privilege, то есть с Word-ом не прокатит.
mwizard
Ну это примеры сходу, которые пришли в голову, которые не основаны на уязвимостях в парсинге самого doc/docx. Это в целом возможно, даже если конкретно эти уязвимости были закрыты.
PrinceKorwin
Вирусы в doc без макросов отлично раньше жили. Когда эксплуатировали уязвимости embedded active.x.
mSnus
Вы правы, но это как раз лет 10 назад было в последний раз
Vilgelm
Не минусовал, но без антивируса на Windows может быть печально даже если ничего не ставить и не иметь админских прав вообще. Например, была такая ситуация лет как раз 8 назад, когда я еще на Windows 7 сидел: зашел на какой-то фильмовый сайт с Гугла, компьютер через минуту перезагрузился и выплюнул мне винлокер. Это конечно за 5 минут правилось, но залетел бы так какой-нить криптор было бы уже печально.
Да, 0-day уязвимости есть всюду, но пользователи Windows под особым прицелом из-за количества. И от таких ситуаций антивирус иногда спасает.
mSnus
Тут как раз должен спасти файрволл, установка которого обязательна в первую очередь.
А антивирус тут как бы помог?
Vilgelm
А как бы тут фаерволл помог? Заходишь на страницу, там подгружается вредоносный скрипт и через уязвимость в браузере загружает и запускает exe файл, который прописывается в автозагрузку.
Антивирус бы мог словить этот файл по сигнатурам или эвристике.
mSnus
Файрволл под Виндой это не просто iptables ) мне кажется, нынче обнаружение таких опасностей это задача файрволла, потому что если вирусный экзешник уже скачан и запущен — поздно проверять что-либо.
Vilgelm
Антивирус должен блокировать запуск экзешника как раз, а чем поможет фаерволл? Я предполагаю что если делать запрос на каждое соединение, то это как-то можно отфильтровать, но это же просто невозможно на рабочей машине с браузером. А если браузер в белом списке фаерволла, то как он поможет?
grumbler66rus
Запрет запуска программ и скриптов из каталога, куда браузер записывает файлы исключает описанный вами кейс.
Vilgelm
Скачать данные можно в любой каталог, скорее всего в данном случае оно вообще куда-нибудь в Temp попало (если в браузере выбрать «открыть», а не «сохранить»).
alsoijw
Flatpak это хороший вариант междистрибутивных пакетов, сам использую. Ваше же сообщение я понял, как то, что вы говорите о flatpak как о средстве безопасности.
Catslinger
Это хорошее средство безопасности, если читать, что он делает, а не ставить всё подряд как есть.
apro
Откуда это информация? В Win95 был SELinux для контроля что и как может делать каждый процесс (как в RedHat), или может там программы запускались в контейнерах (Ubuntu + snap),
или может в Win95 можно было смонтировать директорию пользователя с опцией noexec, и запретить ему запись в "program files"?
Catslinger
в каком популярном дистрибутиве из коробки включён SELinux так, чтобы запущенная пользователем программа не смогла стырить профиль из его браузера? Где искаропки директория пользователя смонтирована с noexec? Десктопный линукс сейчас совершенно не защищён от малвари ничем, кроме своей низкой популярности. Но уже не настолько низкой, чтобы можно было об этом не думать.
Ещё раз: пользователь десктопа всё это настраивать не-бу-дет, и говорить, что он тогда сам виноват — значит говорить, что Линукс для массового десктопа не пригоден.
alex1478
В вашем изначальном сообщении было сказано только про линукс, а не про дистрибутивы или «десктопный линукс».
Catslinger
Ага, пропустил случайно. Именно десктопный. На серверах давно всё в тех или иных контейнерах, да нужды ставить из левых ППА-шек там обычно нет.
Catslinger
Уточняю: десктопный линукс. Сервер компартментализирован как надо, без 0-day не проберёшься при правильной настройке. А вот на десктопе юзер от себя никак не защищён.
Areso
А есть разница между Ubuntu 20.04 LTS и Ubuntu Server 20.04 LTS, кроме иксов?
Catslinger
Технически? Да, есть, хоть и не фундаментальная. Разные установщики. Разные настройки по умолчанию. Подробнее не расскажу: не люблю Убунту. В контексте этой ветки комментариев главная разница в том, кто их использует, как и зачем.
Areso
Ну просто я тот редкий человек, у которого стоит дома Ubuntu, а на серверах (для фриланса) Ubuntu Server.
И пока еще не сталкивался с разным поведением одних и тех же вещей. Оттого и вопрос.
Catslinger
На сервере софт ставится, ! обычно! из реп Каноникла и напрямую от коммерческих производителей. Часто — в контейнерах. На десктопе гораздо чаще встречается софт из левых ППАшек и сторонних реп.
Areso
У меня из левых PPA только bleeding edge два-три приложения с gui, которые canonical не обновляли несколько тысяч лет.
Ну, и всякие Flatpak'и/AppImage, куда без них. Но в разумных количествах.
Но речь изначально шла, что дескать настройки SELinux/AppArmor/Jail/cgroups/iptables/whatever else будут сильно другими. То есть они включены, и как-то настроены на серверах, в отличие от.
Вот у меня и возник вопрос — а были ли они другими, если я не разу не врезался в то, что система работает по-другому из-за различающихся настроек?
alsoijw
Полагаю, что ответ на ваш вопрос всё же нет — философия дебианоподобных дистрибутивов в автоматических мастерах — достаточно установить ламп и сайт уже будет доступен из сети. В то же время в центоси нужно будет после установки самостоятельно включить конфиг для апача, и потом настроить selinux. Хотя как минимум в половине руководств советуется его отключить, так как настраивать его либо лень, либо некому. Соотвтетственно и защита будет соответствующая — не больше чем в дебианоподобных.
Плюс ещё нельзя забывать как про коллекцию софта из стороннего репозитория(epel для centos), так и про передовую технологию установки некоторых программ через
curl | sudo bash