Nuovo malware per GNU/Linux (sembra una bufala!)

1 view
Skip to first unread message

Davide Prina

unread,
Oct 11, 2021, 2:50:02 PMOct 11
to
È riportato su slasdot[¹] la scoperta di un nuovo malware (rootkit) che
prende di mira sistemi GNU/Linux. Lo riporto qui poiché ad un primo
impatto, almeno leggendo il titolo, può sembrare preoccupante.

Da quello che ho capito è basato su suterusu[¹], un rootkit pubblico
disponibile su github che era stato sviluppato per Linux 2.6/3.x

Ulteriori dettagli sul sito di lacework[³].

Da quello che ho capito:
* non si sa come il malware penetri nel sistema operativo
* crea il file /proc/.inl o /tmp/.tmp_XXXXXX
* sostituisce eseguibili di sistema: kill, scp, ssh, ...
* quando un utente esegue "sudo kill" o simile carica un modulo in Linux
e si "impadronisce" del sistema

a me sembra assurdo, se non paradossale.

Per scrivere in /proc devi essere root, lo stesso se vuoi sostituire un
comando come /bin/kill. Ma se sei già root per poter fare queste azioni
perché devi attendere che l'utente esegui tali comandi come root per
poterti impadronire del sistema?

Ciao
Davide

[¹]
https://linux.slashdot.org/story/21/10/10/000240/new-fontonlake-malware-family-can-target-linux-systems?utm_source=feedburner&utm_medium=feed&utm_campaign=Feed%3A+Slashdot%2Fslashdot+%28Slashdot%29

[²]
https://github.com/mncoppola/suterusu

[³]
https://www.lacework.com/blog/hcrootkit-sutersu-linux-rootkit-analysis/

--
Browser: http://www.mozilla.org/products/firefox
GNU/Linux User: 302090: http://counter.li.org
Non autorizzo la memorizzazione del mio indirizzo su outlook

Marco Ciampa

unread,
Oct 11, 2021, 3:50:03 PMOct 11
to
Di rootkit ce ne sono a bizzeffe. Non capisco bene qual'è la novità...

--

Saluton,
Marco Ciampa

Davide Prina

unread,
Oct 12, 2021, 1:50:02 PMOct 12
to
On 11/10/21 21:48, Marco Ciampa wrote:
> On Mon, Oct 11, 2021 at 08:40:46PM +0200, Davide Prina wrote:
>> È riportato su slasdot[¹] la scoperta di un nuovo malware (rootkit) che
>> prende di mira sistemi GNU/Linux. Lo riporto qui poiché ad un primo impatto,
>> almeno leggendo il titolo, può sembrare preoccupante.

>> [¹]
>> https://linux.slashdot.org/story/21/10/10/000240/new-fontonlake-malware-family-can-target-linux-systems?utm_source=feedburner&utm_medium=feed&utm_campaign=Feed%3A+Slashdot%2Fslashdot+%28Slashdot%29

> Di rootkit ce ne sono a bizzeffe.

ma sono tutti neutralizzati da un sistema aggiornato e da un adeguato
uso del sistema.

> Non capisco bene qual'è la novità...

la novità è indicare un qualcosa che non si sa come entri nel sistema e
dare la sensazione che una volta entrato come utente non privilegiato
possa prendere prima o poi l'accesso come root... quindi può generare
insicurezza negli utenti

La mia segnalazione serviva a tranquillizzare se qualcuno leggeva
qualcosa e si preoccupava

Ciao
Davide

Marco Ciampa

unread,
Oct 13, 2021, 1:50:01 AMOct 13
to
On Tue, Oct 12, 2021 at 07:48:07PM +0200, Davide Prina wrote:
> On 11/10/21 21:48, Marco Ciampa wrote:
> > On Mon, Oct 11, 2021 at 08:40:46PM +0200, Davide Prina wrote:
> > > È riportato su slasdot[¹] la scoperta di un nuovo malware (rootkit) che
> > > prende di mira sistemi GNU/Linux. Lo riporto qui poiché ad un primo impatto,
> > > almeno leggendo il titolo, può sembrare preoccupante.
>
> > > [¹]
> > > https://linux.slashdot.org/story/21/10/10/000240/new-fontonlake-malware-family-can-target-linux-systems?utm_source=feedburner&utm_medium=feed&utm_campaign=Feed%3A+Slashdot%2Fslashdot+%28Slashdot%29
>
> > Di rootkit ce ne sono a bizzeffe.
>
> ma sono tutti neutralizzati da un sistema aggiornato e da un adeguato uso
> del sistema.

No i rootkit sono rootkit, non puoi neutralizzarli, stai facendo
confusione con i virus. Puoi pensare ad un rootkit come ad una specie di
driver che una volta installato "abilita" certe funzionalità. Non mi pare
che si possa "neutralizzare" un rootkit come non si può "neutralizzare"
un driver, in special modo se viene compilato per una specifica versione
o insieme di versioni del kernel.

> > Non capisco bene qual'è la novità...
>
> la novità è indicare un qualcosa che non si sa come entri nel sistema e dare
> la sensazione che una volta entrato come utente non privilegiato possa
> prendere prima o poi l'accesso come root... quindi può generare insicurezza
> negli utenti

Sono completamente daccordo. Infatti era una domanda retorica per dire
"roba vecchia ... senzionalismo da 4 soldi..."

> La mia segnalazione serviva a tranquillizzare se qualcuno leggeva qualcosa e
> si preoccupava

Capito.

--

Saluton,
Marco Ciampa

Mario Vittorio Guenzi

unread,
Oct 13, 2021, 2:10:02 AMOct 13
to


Il 13/10/21 07:49, Marco Ciampa ha scritto:

> No i rootkit sono rootkit, non puoi neutralizzarli, stai facendo
> confusione con i virus. Puoi pensare ad un rootkit come ad una specie di
> driver che una volta installato "abilita" certe funzionalità. Non mi pare
> che si possa "neutralizzare" un rootkit come non si può "neutralizzare"
> un driver, in special modo se viene compilato per una specifica versione
> o insieme di versioni del kernel.

Ni, li puoi individuare e rimuovere, non automaticamente questo si ma i
tool per indagine in tal senso ci sono, poi a seconda della situazione
agisci.


--

Mario Vittorio Guenzi
E-mail jcl...@tiscali.it
Si vis pacem, para bellum

OpenPGP_signature

Davide Prina

unread,
Oct 13, 2021, 2:40:02 PMOct 13
to
On 13/10/21 07:49, Marco Ciampa wrote:
> On Tue, Oct 12, 2021 at 07:48:07PM +0200, Davide Prina wrote:
>> On 11/10/21 21:48, Marco Ciampa wrote:

>>> Di rootkit ce ne sono a bizzeffe.
>>
>> ma sono tutti neutralizzati da un sistema aggiornato e da un adeguato uso
>> del sistema.
>
> No i rootkit sono rootkit, non puoi neutralizzarli, stai facendo
> confusione con i virus.

per potersi installare nella tua macchina un rootkit ha bisogno che tu
abbia un software con bug, che permetta all'attaccante reale/virtuale di
scalare fino a root, o che tu compia azioni non adeguate (es: installare
come root software preso in giro, eseguire come root software preso in
giro, ...)

Quindi se tu hai il sistema costantemente aggiornato e fai un uso
adeguato del sistema, allora li hai neutralizzati, nel senso che non
possono infettare il tuo sistema... o per la meno la maggior parte di
essi non può, poi può esserci sempre un bug non conosciuto usato
dall'attaccante per entrare nel tuo PC e per scalare a root.

Probabilmente è per questi motivi che in GNU/Linux il malware in
generale ha poca diffusione e dove l'ha è perché i sistemi non sono
aggiornati o il comportamento degli utenti non è adeguato.

Ciao
Davide
--
Elenco di software libero: http://tinyurl.com/eddgj
Reply all
Reply to author
Forward
0 new messages