Kirjoittaja Aihe: Ilkeä tuholainen iskee Linuxiin – piiloutuu virustorjunnalta  (Luettu 6210 kertaa)

Pendeli

  • Käyttäjä
  • Viestejä: 858
    • Profiili
Onko kyseessä pahakin haitake?

https://www.mikrobitti.fi/uutiset/ilkea-tuholainen-iskee-linuxiin-piiloutuu-virustorjunnalta/e9d2d844-4adc-4c3e-ada9-79c500715751

Tekstissä sanotaan:
"Oman tilanteensa voi tarkistaa suhteellisen helposti. Mikäli koneella on ld.so -tiedostoja, joissa ei ole riviä ”/etc/ld.so.preload”, saattaa sen uumenissa piileskellä HiddenWasp."

Vaikea hakea riviä jota ei ole ::)
Kuinka tuo tarkistus käytännössä tapahtuu ? Missä näitä ld.so-tiedostoja löytyy?



raimo

  • Käyttäjä
  • Viestejä: 4269
  • openSUSE Tumbleweed
    • Profiili
Missä näitä ld.so-tiedostoja löytyy?

Etsi tiedostot yms
Koodia: [Valitse]
locate ld.so
Ennen tuota kannattaa ajaa
Koodia: [Valitse]
sudo updatedbjoka päivittää hakutietokannan.
Tietä käyden tien on vanki. Vapaa on vain umpihanki.
Aaro Hellaakoski

Jtkone

  • Käyttäjä
  • Viestejä: 895
    • Profiili
On maksumuurin takana Pendelin linkki, mutta nykyisen Mikrobitin tason arvattavissa ettei tuolla kovinkaan kummaisia tietoja ole?

MB:n otsikosta napattu:
"HiddenWaspiksi nimetty haittaohjelma osaa vältellä peräti 59 erilaista virustorjuntaohjelmistoa."

Jaa-a. Minulla ei ole ensimmäistäkään.
Onko joku perehtynyt asiaan enemmän?

Jakke77

  • Käyttäjä
  • Viestejä: 3946
  • Oulu (Oinaansuo)
    • Profiili
Lainaus
ArsTechnican mukaan HiddenWaspiksi nimetty haittaohjelma osaa vältellä peräti 59 erilaista virustorjuntaohjelmistoa. Tällä hetkellä ei ole tietoa, kuinka moni kone on jo saastunut. Koodia tutkimalla tietoturvayhtiö Intezer on päätellyt, että HiddenWasp on kehitetty vasta tämän vuoden huhtikuun aikana.

Suurin osa Linux-haitakkeista on luotu auttamaan joko palvelunestohyökkäyksissä tai louhimaan kryptovaluuttaa. HiddenWasp puolestaan pyrkii hallitsemaan uhrikonetta laajemmin. Tarkkaa tietoa siitä mihin uhrikoneita aiotaan käyttää ei ole, sillä HiddenWasp saa ohjausta komentopalvelimelta, jonka antamat käskyt voivat muuttua miksi tahansa. Ilmeisesti HiddenWaspia hyödynnetään vain järjestelmissä, joihin on päästy sisään jo aiemmin.

HiddenWasp tuntuu olevan todellinen hybridi aiemmin nähdyistä hyökkäyksistä. Osa koodista on napattu Miraista, jonka lähdekoodi julkaistiin 2016. Muina lähteinä ovat toimineet Azazel-rootkit, ChinaZ Elknot, ja Winnti:n Linux-versio.

Oman tilanteensa voi tarkistaa suhteellisen helposti. Mikäli koneella on ld.so -tiedostoja, joissa ei ole riviä ”/etc/ld.so.preload”, saattaa sen uumenissa piileskellä HiddenWasp.

samaa englanniksi https://arstechnica.com/information-technology/2019/05/advanced-linux-backdoor-found-in-the-wild-escaped-av-detection/
U_G_H

Aspire E5-575G V1.27 CPU: Intel i3-6100U (4) @ 2.300GHz GPU: Intel® HD Graphics 520 GPU: NVIDIA GeForce 940MX Samsung SSD 970 EVO Plus 500GB

Jtkone

  • Käyttäjä
  • Viestejä: 895
    • Profiili
Toki luin myös ArsTechnican artikkelin, mutta minulle ei nyt oikeasti selvinnyt mistä tuon haitakkeen voi saada?
Eli oletus ettei asentele randomisti jostakin netti sivustoilta jotakin ohjelmaa?
Enkä nyt puhu mistään servereistä.

spark

  • Käyttäjä
  • Viestejä: 1752
    • Profiili
Toki luin myös ArsTechnican artikkelin, mutta minulle ei nyt oikeasti selvinnyt mistä tuon haitakkeen voi saada?
Eli oletus ettei asentele randomisti jostakin netti sivustoilta jotakin ohjelmaa?
Enkä nyt puhu mistään servereistä.

Ilmeisesti ei mistään, vaan noita on löytynyt jo saastuneista koneista.

Jtkone

  • Käyttäjä
  • Viestejä: 895
    • Profiili
Toki luin myös ArsTechnican artikkelin, mutta minulle ei nyt oikeasti selvinnyt mistä tuon haitakkeen voi saada?
Eli oletus ettei asentele randomisti jostakin netti sivustoilta jotakin ohjelmaa?
Enkä nyt puhu mistään servereistä.

Ilmeisesti ei mistään, vaan noita on löytynyt jo saastuneista koneista.
No mikäs tuossa sitten on idea?
Meinaan uutista.
« Viimeksi muokattu: 31.05.19 - klo:21.21 kirjoittanut Jtkone »

raimo

  • Käyttäjä
  • Viestejä: 4269
  • openSUSE Tumbleweed
    • Profiili
Onko Linuxiin olemassa 59 virustorjuntaohjelmistoa?  :P
Tietä käyden tien on vanki. Vapaa on vain umpihanki.
Aaro Hellaakoski

AimoE

  • Käyttäjä
  • Viestejä: 2782
    • Profiili
Tässä löytäjien oma kuvaus tästä uudesta troijalaisesta:
https://www.intezer.com/blog-hiddenwasp-malware-targeting-linux-systems/
« Viimeksi muokattu: 01.06.19 - klo:07.06 kirjoittanut AimoE »

Pendeli

  • Käyttäjä
  • Viestejä: 858
    • Profiili
"Mikäli koneella on ld.so -tiedostoja, joissa ei ole riviä ”/etc/ld.so.preload”, saattaa sen uumenissa piileskellä HiddenWasp."

Koneella löytyy ld.so -tiedostoja mutta missään ei näy mitään ld.so.preloadiin viittaavaa.
Mitä se sitten merkinneekään. Todennäköisesti ei yhtään mitään...
Toivotaan, että tähänkin hommaan tulee korjaus joskus.

avanti

  • Käyttäjä
  • Viestejä: 455
    • Profiili
"Mikäli koneella on ld.so -tiedostoja, joissa ei ole riviä ”/etc/ld.so.preload”, saattaa sen uumenissa piileskellä HiddenWasp."

Koneella löytyy ld.so -tiedostoja mutta missään ei näy mitään ld.so.preloadiin viittaavaa.
Mitä se sitten merkinneekään. Todennäköisesti ei yhtään mitään...
Toivotaan, että tähänkin hommaan tulee korjaus joskus.

Eihän tuon rivin tarvitsekaan sijaita kuin etc-hakemistossa. Onneksi se ylämainitulla komennolla löytyy ihan alussa. Itse tein Tiedostot selaimella vain haun kopioimalla tuon rivin hakukenttään. Mutta tuo komento "sudo updatedb" oli hyvä muistutus. Samantekevää kuitenkin, ei löydy tuota riviä.

Itseäni kiinnostaisi miten tuo tuholainen on saatu saastuttamaan jonkin koneen, jos se kerran on saastuttanut.

ML
Matti Lamminen itäiseltä Vantaalta.
Intel NUC i5 prosessorilla.
Ubuntu 22.04.1 LTS

AimoE

  • Käyttäjä
  • Viestejä: 2782
    • Profiili
Itseäni kiinnostaisi miten tuo tuholainen on saatu saastuttamaan jonkin koneen, jos se kerran on saastuttanut.

Tuolta Intezerin kuvauksesta käy ilmi, että löydetystä koodista löytyi osia, jotka ujuttavat saastunutta koodia jo ennestään saastuneeseen kohteeseen. Tutkimalla osoitteita, joista lisäkoodia haetaan (Kiinasta), koodia tutkineet onnistuivat lataamaan analysoitavaksi muutamia muitakin komponentteja samasta kokonaisuudesta. Koodista ei kuitenkaan käynyt ilmi miten ensimmäinen saastuminen on tapahtunut, tai mitä muuta järjestelmän avulla on vielä tarkoitus viedä saastuneeseen koneeseen. Vain se on selvää, että kyse on koodikokonaisuudesta, jonka avulla aiotaan tehdä tarkkaan kohdistettuja hyökkäyksiä.

Tavallisille käyttäjille analyysin opetus on se, että kun Linuxia pidetään turvallisena, eikä haittaohjelmien torjuntaohjelmistoja ole kovinkaan paljon viritetty Linuxia varten, koodin kirjoittajiat pääsevät pitkälle hyvin vaatimattomilla naamioitumiskeinoilla. Windowsin haittakoodissa varustelukilpa on johtanut paljon pidemmälle kehitettyihin naamioituiskeinoihin ja niiden paljastuskeinoihin.

molli

  • Käyttäjä
  • Viestejä: 11
    • Profiili
Arstechnika sanoo:
Koodia: [Valitse]
One telltale sign: “ld.so” files that don’t contain the string “/etc/ld.so.preload.”
Ottamatta kantaa onko tuo hyvä ja varma merkki, niin sen voi testata komentoriviltä näin:

Koodia: [Valitse]
ls /lib/*/ld*.so
grep /etc/ld.so.preload /lib/*/ld*.so
(Eli tarkistetaan onko /lib-kansion alla useita ld.so -tiedostoja, sitten etsitään mainittua merkkijonoa /etc/ld.so.preload niistä kaikista)

Vastaa esim
Koodia: [Valitse]
/lib/i386-linux-gnu/ld-2.27.so  /lib/x86_64-linux-gnu/ld-2.27.so
Binääritiedosto /lib/i386-linux-gnu/ld-2.27.so täsmää hakuun
Binääritiedosto /lib/x86_64-linux-gnu/ld-2.27.so täsmää hakuun
Eli löytyy kaksi tiedostoa, ja niissä molemmissa on maininta: /etc/ld.so.preload )

Jakke77

  • Käyttäjä
  • Viestejä: 3946
  • Oulu (Oinaansuo)
    • Profiili
Arstechnika sanoo:
Koodia: [Valitse]
One telltale sign: “ld.so” files that don’t contain the string “/etc/ld.so.preload.”
Ottamatta kantaa onko tuo hyvä ja varma merkki, niin sen voi testata komentoriviltä näin:

Koodia: [Valitse]
ls /lib/*/ld*.so
grep /etc/ld.so.preload /lib/*/ld*.so
(Eli tarkistetaan onko /lib-kansion alla useita ld.so -tiedostoja, sitten etsitään mainittua merkkijonoa /etc/ld.so.preload niistä kaikista)

Vastaa esim
Koodia: [Valitse]
/lib/i386-linux-gnu/ld-2.27.so  /lib/x86_64-linux-gnu/ld-2.27.so
Binääritiedosto /lib/i386-linux-gnu/ld-2.27.so täsmää hakuun
Binääritiedosto /lib/x86_64-linux-gnu/ld-2.27.so täsmää hakuun
Eli löytyy kaksi tiedostoa, ja niissä molemmissa on maininta: /etc/ld.so.preload )


melkee samat....

Koodia: [Valitse]
grep /etc/ld.so.preload /lib/*/ld*.so
Binaaritiedosto /lib/i386-linux-gnu/ld-2.29.so täsmää hakuun
Binaaritiedosto /lib/x86_64-linux-gnu/ld-2.29.so täsmää hakuun
U_G_H

Aspire E5-575G V1.27 CPU: Intel i3-6100U (4) @ 2.300GHz GPU: Intel® HD Graphics 520 GPU: NVIDIA GeForce 940MX Samsung SSD 970 EVO Plus 500GB


molli

  • Käyttäjä
  • Viestejä: 11
    • Profiili
Tuoreita haittaohjelmia löytyy:

https://github.com/Netflix/security-bulletins/blob/master/advisories/third-party/2019-001.md
Hyökkääjä saa Linux-järjestelmän crashaamaan etänä. Ainut vaatimus sama IP-avaruus. Eli joko julkinen IP (tai ehkä port-forward NATin takaa) tai samasta lähiverkosta.
Linux-palvelimille todellinen uhka.

https://www.is.fi/digitoday/tietoturva/art-2000006147487.html
Jos uhri menee Firefoxilla hyökkääjän hallitsemalle (tai kaappaamalle) sivulle, niin Firefox crashaa ja suorittaa hyökkääjän mielivaltaista koodia.
Vaikuttaa kaikkiin käyttöjärjestelmiin, Linux ei ole turvassa. (Paitsi ehkä sen verran, että todennäköisemmin selainta ei käytetä kovimmilla oikeuksilla, toisin kuin kotiWindowseissa on tapana).

https://www.mozilla.org/en-US/security/advisories/mfsa2019-17/
https://www.us-cert.gov/ncas/current-activity/2019/06/13/Mozilla-Releases-Security-Update-Thunderbird
Hyökkääjä voi lähettää uhrille emailin, joka crashaa Thunderbirdin ja suorittaa hyökkääjän mielivaltaista koodia.

Pendeli

  • Käyttäjä
  • Viestejä: 858
    • Profiili
Firefoxiin on tänään tullut päivitys 67.0.3
Thunderbirdin noin viikko sitten ilmoitettuun haavoittuvuuteen ei ainakaan
minulla ole vielä näkynyt päivitystä eli versio on 60.7.

mrl586

  • Käyttäjä
  • Viestejä: 4638
    • Profiili
Thunderbirdin noin viikko sitten ilmoitettuun haavoittuvuuteen ei ainakaan
minulla ole vielä näkynyt päivitystä eli versio on 60.7.
Ota käyttöön tämä PPA, niin saat tietoturvapäivitykset ajoissa Mozillan tuotteisiin, heti niiden julkaisun jälkeen.

Pendeli

  • Käyttäjä
  • Viestejä: 858
    • Profiili
Thunderbirdin päivitys 60.7.1 on tullut viimeinkin normaaliteitse.

matsukan

  • Käyttäjä
  • Viestejä: 2152
    • Profiili
Virustorjunta yritykset ovat näköjään iskeneet silmänsä linux käyttäjiin ....Johanan käyttämäärät on nouseet riittävälle tasolel jotta köh käh uhkia voidaan lisätä ?

Jos turvallisuus on rautaketju niin tuoko lisää turvallisuutta lisäämällä ketjuun ulkoisen palvelun lenkin joka on vielä suljettu ?

Vastaus on tietenkin EI.
 
Ketju voidaan murtaa useilla keinoin mutta isossa mittakaavassa Linux related käyttikset on paremmassa turvassa käyttämällä eri distroja ja kokoonpanoja.
« Viimeksi muokattu: 21.06.19 - klo:00.29 kirjoittanut matsukan »
Pohjois-pohjanmaa
-- motto:  backupin tarve huomataan aina liian myöhään