info
Google Groups no longer supports new Usenet posts or subscriptions. Historical content remains viewable.
Dismiss
Nuovo malware per GNU/Linux (sembra una bufala!)
2 views
Skip to first unread message
Davide Prina
Oct 11, 2021, 2:50:02 PM10/11/21
to
È riportato su slasdot[¹] la scoperta di un nuovo malware (rootkit) che
prende di mira sistemi GNU/Linux. Lo riporto qui poiché ad un primo
impatto, almeno leggendo il titolo, può sembrare preoccupante.
Da quello che ho capito è basato su suterusu[¹], un rootkit pubblico
disponibile su github che era stato sviluppato per Linux 2.6/3.x
Ulteriori dettagli sul sito di lacework[³].
Da quello che ho capito:
* non si sa come il malware penetri nel sistema operativo
* crea il file /proc/.inl o /tmp/.tmp_XXXXXX
* sostituisce eseguibili di sistema: kill, scp, ssh, ...
* quando un utente esegue "sudo kill" o simile carica un modulo in Linux
e si "impadronisce" del sistema
a me sembra assurdo, se non paradossale.
Per scrivere in /proc devi essere root, lo stesso se vuoi sostituire un
comando come /bin/kill. Ma se sei già root per poter fare queste azioni
perché devi attendere che l'utente esegui tali comandi come root per
poterti impadronire del sistema?
Ciao
Davide
[¹]
https://linux.slashdot.org/story/21/10/10/000240/new-fontonlake-malware-family-can-target-linux-systems?utm_source=feedburner&utm_medium=feed&utm_campaign=Feed%3A+Slashdot%2Fslashdot+%28Slashdot%29
[²]
https://github.com/mncoppola/suterusu
[³]
https://www.lacework.com/blog/hcrootkit-sutersu-linux-rootkit-analysis/
--
Browser: http://www.mozilla.org/products/firefox
GNU/Linux User: 302090: http://counter.li.org
Non autorizzo la memorizzazione del mio indirizzo su outlook
prende di mira sistemi GNU/Linux. Lo riporto qui poiché ad un primo
impatto, almeno leggendo il titolo, può sembrare preoccupante.
Da quello che ho capito è basato su suterusu[¹], un rootkit pubblico
disponibile su github che era stato sviluppato per Linux 2.6/3.x
Ulteriori dettagli sul sito di lacework[³].
Da quello che ho capito:
* non si sa come il malware penetri nel sistema operativo
* crea il file /proc/.inl o /tmp/.tmp_XXXXXX
* sostituisce eseguibili di sistema: kill, scp, ssh, ...
* quando un utente esegue "sudo kill" o simile carica un modulo in Linux
e si "impadronisce" del sistema
a me sembra assurdo, se non paradossale.
Per scrivere in /proc devi essere root, lo stesso se vuoi sostituire un
comando come /bin/kill. Ma se sei già root per poter fare queste azioni
perché devi attendere che l'utente esegui tali comandi come root per
poterti impadronire del sistema?
Ciao
Davide
[¹]
https://linux.slashdot.org/story/21/10/10/000240/new-fontonlake-malware-family-can-target-linux-systems?utm_source=feedburner&utm_medium=feed&utm_campaign=Feed%3A+Slashdot%2Fslashdot+%28Slashdot%29
[²]
https://github.com/mncoppola/suterusu
[³]
https://www.lacework.com/blog/hcrootkit-sutersu-linux-rootkit-analysis/
--
Browser: http://www.mozilla.org/products/firefox
GNU/Linux User: 302090: http://counter.li.org
Non autorizzo la memorizzazione del mio indirizzo su outlook
Marco Ciampa
Oct 11, 2021, 3:50:03 PM10/11/21
to
--
Saluton,
Marco Ciampa
Davide Prina
Oct 12, 2021, 1:50:02 PM10/12/21
to
On 11/10/21 21:48, Marco Ciampa wrote:
> On Mon, Oct 11, 2021 at 08:40:46PM +0200, Davide Prina wrote:
>> È riportato su slasdot[¹] la scoperta di un nuovo malware (rootkit) che
>> prende di mira sistemi GNU/Linux. Lo riporto qui poiché ad un primo impatto,
>> almeno leggendo il titolo, può sembrare preoccupante.
>> [¹]
> On Mon, Oct 11, 2021 at 08:40:46PM +0200, Davide Prina wrote:
>> È riportato su slasdot[¹] la scoperta di un nuovo malware (rootkit) che
>> prende di mira sistemi GNU/Linux. Lo riporto qui poiché ad un primo impatto,
>> almeno leggendo il titolo, può sembrare preoccupante.
>> https://linux.slashdot.org/story/21/10/10/000240/new-fontonlake-malware-family-can-target-linux-systems?utm_source=feedburner&utm_medium=feed&utm_campaign=Feed%3A+Slashdot%2Fslashdot+%28Slashdot%29
> Di rootkit ce ne sono a bizzeffe.
uso del sistema.
> Non capisco bene qual'è la novità...
dare la sensazione che una volta entrato come utente non privilegiato
possa prendere prima o poi l'accesso come root... quindi può generare
insicurezza negli utenti
La mia segnalazione serviva a tranquillizzare se qualcuno leggeva
qualcosa e si preoccupava
Ciao
Davide
Marco Ciampa
Oct 13, 2021, 1:50:01 AM10/13/21
to
On Tue, Oct 12, 2021 at 07:48:07PM +0200, Davide Prina wrote:
> On 11/10/21 21:48, Marco Ciampa wrote:
> > On Mon, Oct 11, 2021 at 08:40:46PM +0200, Davide Prina wrote:
> > > È riportato su slasdot[¹] la scoperta di un nuovo malware (rootkit) che
> > > prende di mira sistemi GNU/Linux. Lo riporto qui poiché ad un primo impatto,
> > > almeno leggendo il titolo, può sembrare preoccupante.
>
> > > [¹]
> > > https://linux.slashdot.org/story/21/10/10/000240/new-fontonlake-malware-family-can-target-linux-systems?utm_source=feedburner&utm_medium=feed&utm_campaign=Feed%3A+Slashdot%2Fslashdot+%28Slashdot%29
>
> > Di rootkit ce ne sono a bizzeffe.
>
> ma sono tutti neutralizzati da un sistema aggiornato e da un adeguato uso
> del sistema.
No i rootkit sono rootkit, non puoi neutralizzarli, stai facendo
> On 11/10/21 21:48, Marco Ciampa wrote:
> > On Mon, Oct 11, 2021 at 08:40:46PM +0200, Davide Prina wrote:
> > > È riportato su slasdot[¹] la scoperta di un nuovo malware (rootkit) che
> > > prende di mira sistemi GNU/Linux. Lo riporto qui poiché ad un primo impatto,
> > > almeno leggendo il titolo, può sembrare preoccupante.
>
> > > [¹]
> > > https://linux.slashdot.org/story/21/10/10/000240/new-fontonlake-malware-family-can-target-linux-systems?utm_source=feedburner&utm_medium=feed&utm_campaign=Feed%3A+Slashdot%2Fslashdot+%28Slashdot%29
>
> > Di rootkit ce ne sono a bizzeffe.
>
> ma sono tutti neutralizzati da un sistema aggiornato e da un adeguato uso
> del sistema.
confusione con i virus. Puoi pensare ad un rootkit come ad una specie di
driver che una volta installato "abilita" certe funzionalità. Non mi pare
che si possa "neutralizzare" un rootkit come non si può "neutralizzare"
un driver, in special modo se viene compilato per una specifica versione
o insieme di versioni del kernel.
> > Non capisco bene qual'è la novità...
>
> la novità è indicare un qualcosa che non si sa come entri nel sistema e dare
> la sensazione che una volta entrato come utente non privilegiato possa
> prendere prima o poi l'accesso come root... quindi può generare insicurezza
> negli utenti
"roba vecchia ... senzionalismo da 4 soldi..."
> La mia segnalazione serviva a tranquillizzare se qualcuno leggeva qualcosa e
> si preoccupava
--
Saluton,
Marco Ciampa
Mario Vittorio Guenzi
Oct 13, 2021, 2:10:02 AM10/13/21
to
Il 13/10/21 07:49, Marco Ciampa ha scritto:
> No i rootkit sono rootkit, non puoi neutralizzarli, stai facendo
> confusione con i virus. Puoi pensare ad un rootkit come ad una specie di
> driver che una volta installato "abilita" certe funzionalità. Non mi pare
> che si possa "neutralizzare" un rootkit come non si può "neutralizzare"
> un driver, in special modo se viene compilato per una specifica versione
> o insieme di versioni del kernel.
tool per indagine in tal senso ci sono, poi a seconda della situazione
agisci.
--
Mario Vittorio Guenzi
E-mail jcl...@tiscali.it
Si vis pacem, para bellum
Davide Prina
Oct 13, 2021, 2:40:02 PM10/13/21
to
On 13/10/21 07:49, Marco Ciampa wrote:
> On Tue, Oct 12, 2021 at 07:48:07PM +0200, Davide Prina wrote:
>> On 11/10/21 21:48, Marco Ciampa wrote:
>>> Di rootkit ce ne sono a bizzeffe.
>>
>> ma sono tutti neutralizzati da un sistema aggiornato e da un adeguato uso
>> del sistema.
>
> No i rootkit sono rootkit, non puoi neutralizzarli, stai facendo
> confusione con i virus.
per potersi installare nella tua macchina un rootkit ha bisogno che tu
> On Tue, Oct 12, 2021 at 07:48:07PM +0200, Davide Prina wrote:
>> On 11/10/21 21:48, Marco Ciampa wrote:
>>> Di rootkit ce ne sono a bizzeffe.
>>
>> ma sono tutti neutralizzati da un sistema aggiornato e da un adeguato uso
>> del sistema.
>
> No i rootkit sono rootkit, non puoi neutralizzarli, stai facendo
> confusione con i virus.
abbia un software con bug, che permetta all'attaccante reale/virtuale di
scalare fino a root, o che tu compia azioni non adeguate (es: installare
come root software preso in giro, eseguire come root software preso in
giro, ...)
Quindi se tu hai il sistema costantemente aggiornato e fai un uso
adeguato del sistema, allora li hai neutralizzati, nel senso che non
possono infettare il tuo sistema... o per la meno la maggior parte di
essi non può, poi può esserci sempre un bug non conosciuto usato
dall'attaccante per entrare nel tuo PC e per scalare a root.
Probabilmente è per questi motivi che in GNU/Linux il malware in
generale ha poca diffusione e dove l'ha è perché i sistemi non sono
aggiornati o il comportamento degli utenti non è adeguato.
Ciao
Davide
--
Elenco di software libero: http://tinyurl.com/eddgj
0 new messages