Ilkeä tuholainen iskee Linuxiin – piiloutuu virustorjunnalta

[Pendeli]

Onko kyseessä pahakin haitake?

https://www.mikrobitti.fi/uutiset/ilkea-tuholainen-iskee-linuxiin-piiloutuu-virustorjunnalta/e9d2d844-4adc-4c3e-ada9-79c500715751

Tekstissä sanotaan:
"Oman tilanteensa voi tarkistaa suhteellisen helposti. Mikäli koneella on ld.so -tiedostoja, joissa ei ole riviä ”/etc/ld.so.preload”, saattaa sen uumenissa piileskellä HiddenWasp."

Vaikea hakea riviä jota ei ole
Kuinka tuo tarkistus käytännössä tapahtuu ? Missä näitä ld.so-tiedostoja löytyy?

[raimo]

Missä näitä ld.so-tiedostoja löytyy?

Etsi tiedostot yms

Koodia: [Valitse]

locate ld.so
Ennen tuota kannattaa ajaa

Koodia: [Valitse]

sudo updatedbjoka päivittää hakutietokannan.

[Jtkone]

On maksumuurin takana Pendelin linkki, mutta nykyisen Mikrobitin tason arvattavissa ettei tuolla kovinkaan kummaisia tietoja ole?

MB:n otsikosta napattu:
"HiddenWaspiksi nimetty haittaohjelma osaa vältellä peräti 59 erilaista virustorjuntaohjelmistoa."

Jaa-a. Minulla ei ole ensimmäistäkään.
Onko joku perehtynyt asiaan enemmän?

[Jakke77]

ArsTechnican mukaan HiddenWaspiksi nimetty haittaohjelma osaa vältellä peräti 59 erilaista virustorjuntaohjelmistoa. Tällä hetkellä ei ole tietoa, kuinka moni kone on jo saastunut. Koodia tutkimalla tietoturvayhtiö Intezer on päätellyt, että HiddenWasp on kehitetty vasta tämän vuoden huhtikuun aikana.

Suurin osa Linux-haitakkeista on luotu auttamaan joko palvelunestohyökkäyksissä tai louhimaan kryptovaluuttaa. HiddenWasp puolestaan pyrkii hallitsemaan uhrikonetta laajemmin. Tarkkaa tietoa siitä mihin uhrikoneita aiotaan käyttää ei ole, sillä HiddenWasp saa ohjausta komentopalvelimelta, jonka antamat käskyt voivat muuttua miksi tahansa. Ilmeisesti HiddenWaspia hyödynnetään vain järjestelmissä, joihin on päästy sisään jo aiemmin.

HiddenWasp tuntuu olevan todellinen hybridi aiemmin nähdyistä hyökkäyksistä. Osa koodista on napattu Miraista, jonka lähdekoodi julkaistiin 2016. Muina lähteinä ovat toimineet Azazel-rootkit, ChinaZ Elknot, ja Winnti:n Linux-versio.

Oman tilanteensa voi tarkistaa suhteellisen helposti. Mikäli koneella on ld.so -tiedostoja, joissa ei ole riviä ”/etc/ld.so.preload”, saattaa sen uumenissa piileskellä HiddenWasp.

samaa englanniksi https://arstechnica.com/information-technology/2019/05/advanced-linux-backdoor-found-in-the-wild-escaped-av-detection/

[Jtkone]

Toki luin myös ArsTechnican artikkelin, mutta minulle ei nyt oikeasti selvinnyt mistä tuon haitakkeen voi saada?
Eli oletus ettei asentele randomisti jostakin netti sivustoilta jotakin ohjelmaa?
Enkä nyt puhu mistään servereistä.

[spark]

Toki luin myös ArsTechnican artikkelin, mutta minulle ei nyt oikeasti selvinnyt mistä tuon haitakkeen voi saada?
Eli oletus ettei asentele randomisti jostakin netti sivustoilta jotakin ohjelmaa?
Enkä nyt puhu mistään servereistä.

Ilmeisesti ei mistään, vaan noita on löytynyt jo saastuneista koneista.

[Jtkone]

Toki luin myös ArsTechnican artikkelin, mutta minulle ei nyt oikeasti selvinnyt mistä tuon haitakkeen voi saada?
Eli oletus ettei asentele randomisti jostakin netti sivustoilta jotakin ohjelmaa?
Enkä nyt puhu mistään servereistä.

Ilmeisesti ei mistään, vaan noita on löytynyt jo saastuneista koneista.

No mikäs tuossa sitten on idea?
Meinaan uutista.

[raimo]

Onko Linuxiin olemassa 59 virustorjuntaohjelmistoa? 

[AimoE]

Tässä löytäjien oma kuvaus tästä uudesta troijalaisesta:
https://www.intezer.com/blog-hiddenwasp-malware-targeting-linux-systems/

[Pendeli]

"Mikäli koneella on ld.so -tiedostoja, joissa ei ole riviä ”/etc/ld.so.preload”, saattaa sen uumenissa piileskellä HiddenWasp."

Koneella löytyy ld.so -tiedostoja mutta missään ei näy mitään ld.so.preloadiin viittaavaa.
Mitä se sitten merkinneekään. Todennäköisesti ei yhtään mitään...
Toivotaan, että tähänkin hommaan tulee korjaus joskus.

[avanti]

"Mikäli koneella on ld.so -tiedostoja, joissa ei ole riviä ”/etc/ld.so.preload”, saattaa sen uumenissa piileskellä HiddenWasp."

Koneella löytyy ld.so -tiedostoja mutta missään ei näy mitään ld.so.preloadiin viittaavaa.
Mitä se sitten merkinneekään. Todennäköisesti ei yhtään mitään...
Toivotaan, että tähänkin hommaan tulee korjaus joskus.

Eihän tuon rivin tarvitsekaan sijaita kuin etc-hakemistossa. Onneksi se ylämainitulla komennolla löytyy ihan alussa. Itse tein Tiedostot selaimella vain haun kopioimalla tuon rivin hakukenttään. Mutta tuo komento "sudo updatedb" oli hyvä muistutus. Samantekevää kuitenkin, ei löydy tuota riviä.

Itseäni kiinnostaisi miten tuo tuholainen on saatu saastuttamaan jonkin koneen, jos se kerran on saastuttanut.

ML

[AimoE]

Itseäni kiinnostaisi miten tuo tuholainen on saatu saastuttamaan jonkin koneen, jos se kerran on saastuttanut.

Tuolta Intezerin kuvauksesta käy ilmi, että löydetystä koodista löytyi osia, jotka ujuttavat saastunutta koodia jo ennestään saastuneeseen kohteeseen. Tutkimalla osoitteita, joista lisäkoodia haetaan (Kiinasta), koodia tutkineet onnistuivat lataamaan analysoitavaksi muutamia muitakin komponentteja samasta kokonaisuudesta. Koodista ei kuitenkaan käynyt ilmi miten ensimmäinen saastuminen on tapahtunut, tai mitä muuta järjestelmän avulla on vielä tarkoitus viedä saastuneeseen koneeseen. Vain se on selvää, että kyse on koodikokonaisuudesta, jonka avulla aiotaan tehdä tarkkaan kohdistettuja hyökkäyksiä.

Tavallisille käyttäjille analyysin opetus on se, että kun Linuxia pidetään turvallisena, eikä haittaohjelmien torjuntaohjelmistoja ole kovinkaan paljon viritetty Linuxia varten, koodin kirjoittajiat pääsevät pitkälle hyvin vaatimattomilla naamioitumiskeinoilla. Windowsin haittakoodissa varustelukilpa on johtanut paljon pidemmälle kehitettyihin naamioituiskeinoihin ja niiden paljastuskeinoihin.

[molli]

Arstechnika sanoo:

Koodia: [Valitse]

One telltale sign: “ld.so” files that don’t contain the string “/etc/ld.so.preload.”
Ottamatta kantaa onko tuo hyvä ja varma merkki, niin sen voi testata komentoriviltä näin:

Koodia: [Valitse]

ls /lib/*/ld*.so
grep /etc/ld.so.preload /lib/*/ld*.so
(Eli tarkistetaan onko /lib-kansion alla useita ld.so -tiedostoja, sitten etsitään mainittua merkkijonoa /etc/ld.so.preload niistä kaikista)

Vastaa esim

Koodia: [Valitse]

/lib/i386-linux-gnu/ld-2.27.so  /lib/x86_64-linux-gnu/ld-2.27.so
Binääritiedosto /lib/i386-linux-gnu/ld-2.27.so täsmää hakuun
Binääritiedosto /lib/x86_64-linux-gnu/ld-2.27.so täsmää hakuun
Eli löytyy kaksi tiedostoa, ja niissä molemmissa on maininta: /etc/ld.so.preload )

[Jakke77]

Arstechnika sanoo:

Koodia: [Valitse]

One telltale sign: “ld.so” files that don’t contain the string “/etc/ld.so.preload.”
Ottamatta kantaa onko tuo hyvä ja varma merkki, niin sen voi testata komentoriviltä näin:

Koodia: [Valitse]

ls /lib/*/ld*.so
grep /etc/ld.so.preload /lib/*/ld*.so
(Eli tarkistetaan onko /lib-kansion alla useita ld.so -tiedostoja, sitten etsitään mainittua merkkijonoa /etc/ld.so.preload niistä kaikista)

Vastaa esim

Koodia: [Valitse]

/lib/i386-linux-gnu/ld-2.27.so  /lib/x86_64-linux-gnu/ld-2.27.so
Binääritiedosto /lib/i386-linux-gnu/ld-2.27.so täsmää hakuun
Binääritiedosto /lib/x86_64-linux-gnu/ld-2.27.so täsmää hakuun
Eli löytyy kaksi tiedostoa, ja niissä molemmissa on maininta: /etc/ld.so.preload )

melkee samat....

Koodia: [Valitse]

grep /etc/ld.so.preload /lib/*/ld*.so
Binaaritiedosto /lib/i386-linux-gnu/ld-2.29.so täsmää hakuun
Binaaritiedosto /lib/x86_64-linux-gnu/ld-2.29.so täsmää hakuun

[Pendeli]

Tuoreita haittaohjelmia löytyy:

https://github.com/Netflix/security-bulletins/blob/master/advisories/third-party/2019-001.md


https://www.is.fi/digitoday/tietoturva/art-2000006147487.html


https://www.mozilla.org/en-US/security/advisories/mfsa2019-17/

https://www.us-cert.gov/ncas/current-activity/2019/06/13/Mozilla-Releases-Security-Update-Thunderbird

[molli]

Tuoreita haittaohjelmia löytyy:

https://github.com/Netflix/security-bulletins/blob/master/advisories/third-party/2019-001.md

Hyökkääjä saa Linux-järjestelmän crashaamaan etänä. Ainut vaatimus sama IP-avaruus. Eli joko julkinen IP (tai ehkä port-forward NATin takaa) tai samasta lähiverkosta.
Linux-palvelimille todellinen uhka.

https://www.is.fi/digitoday/tietoturva/art-2000006147487.html

Jos uhri menee Firefoxilla hyökkääjän hallitsemalle (tai kaappaamalle) sivulle, niin Firefox crashaa ja suorittaa hyökkääjän mielivaltaista koodia.
Vaikuttaa kaikkiin käyttöjärjestelmiin, Linux ei ole turvassa. (Paitsi ehkä sen verran, että todennäköisemmin selainta ei käytetä kovimmilla oikeuksilla, toisin kuin kotiWindowseissa on tapana).

https://www.mozilla.org/en-US/security/advisories/mfsa2019-17/
https://www.us-cert.gov/ncas/current-activity/2019/06/13/Mozilla-Releases-Security-Update-Thunderbird

Hyökkääjä voi lähettää uhrille emailin, joka crashaa Thunderbirdin ja suorittaa hyökkääjän mielivaltaista koodia.

[Pendeli]

Firefoxiin on tänään tullut päivitys 67.0.3
Thunderbirdin noin viikko sitten ilmoitettuun haavoittuvuuteen ei ainakaan
minulla ole vielä näkynyt päivitystä eli versio on 60.7.

[mrl586]

Thunderbirdin noin viikko sitten ilmoitettuun haavoittuvuuteen ei ainakaan
minulla ole vielä näkynyt päivitystä eli versio on 60.7.

Ota käyttöön tämä PPA, niin saat tietoturvapäivitykset ajoissa Mozillan tuotteisiin, heti niiden julkaisun jälkeen.

[Pendeli]

Thunderbirdin päivitys 60.7.1 on tullut viimeinkin normaaliteitse.

[matsukan]

Virustorjunta yritykset ovat näköjään iskeneet silmänsä linux käyttäjiin ....Johanan käyttämäärät on nouseet riittävälle tasolel jotta köh käh uhkia voidaan lisätä ?

Jos turvallisuus on rautaketju niin tuoko lisää turvallisuutta lisäämällä ketjuun ulkoisen palvelun lenkin joka on vielä suljettu ?

Vastaus on tietenkin EI.
 
Ketju voidaan murtaa useilla keinoin mutta isossa mittakaavassa Linux related käyttikset on paremmassa turvassa käyttämällä eri distroja ja kokoonpanoja.