Вирусные новости для Linux

Модератор: LinuxNEWS
Аватара пользователя

Автор темы
Nickolas
Сообщения: 436
Зарегистрирован: 14 сен 2016, 05:44
Решено: 3
Благодарил (а): 174 раза
Поблагодарили: 210 раз
Контактная информация:

Вирусные новости для Linux

#1

29 май 2017, 18:39

«Доктор Веб» исследовал многокомпонентного троянца для Linux
25 мая 2017 года

Вредоносные программы для операционных систем семейства Linux не столь распространены по сравнению с Windows-троянцами. Тем не менее они представляют серьезную угрозу для пользователей. Специалисты «Доктор Веб» исследовали сложного многокомпонентного троянца, способного заражать устройства под управлением Linux с различной аппаратной архитектурой.

Первые атаки с применением троянца, вошедшего в семейство Linux.LuaBot, специалисты «Доктор Веб» фиксировали еще в декабре 2016 года. Все представители семейства написаны на скриптовом языке Lua. Троянец непрерывно эволюционирует с ноября 2016 года, и новые версии Linux.LuaBot появляются с завидной регулярностью. Вредоносная программа Linux.LuaBot представляет собой набор из 31 Lua-сценария и двух дополнительных модулей, каждый из которых выполняет собственную функцию. Троянец способен заражать устройства с архитектурами Intel x86 (и Intel x86_64), MIPS, MIPSEL, Power PC, ARM, SPARC, SH4, M68k – иными словами, не только компьютеры, но и широчайший ассортимент роутеров, телевизионных приставок, сетевых хранилищ, IP-камер и других «умных» девайсов. При этом специалистам «Доктор Веб» не удалось обнаружить в «дикой природе» сборки троянца для архитектуры SPARC: заражающий устройства инфектор троянца умеет определять эту архитектуру, но реально существующих модулей для нее не выявлено.

Все входящие в состав Linux.LuaBot сценарии взаимосвязаны. Троянец генерирует список IP-адресов, которые будет атаковать, а затем пытается соединиться с удаленными устройствами по созданному списку и авторизоваться путем перебора логинов и паролей по словарю. Скрипты, с использованием которых осуществляется взлом сетевых узлов, умеют определять архитектуру атакуемого устройства и, кроме того, имеют специальный механизм для детектирования «ханипотов» (от англ. honeypot, «горшочек с медом») — серверов, играющих роль приманки для злоумышленников. С помощью «ханипотов» специалисты по информационной безопасности изучают методики атак и инструментарий злоумышленников. При этом атаки выполняются как по протоколу Telnet, так и посредством SSH — за работу с каждым из этих протоколов отвечает отдельный Lua-сценарий. Если получить доступ к устройству удалось, вредоносный скрипт устанавливает на него троянца Linux.LuaBot соответствующей архитектуры. В процессе атаки по протоколу Telnet на скомпрометированный узел сначала загружается небольшой модуль, который, запустившись, скачивает самого троянца, при атаке по протоколу SSH троянец загружается сразу.

Один из модулей Linux.LuaBot представляет собой полноценный веб-сервер, работающий по протоколу HTTP. Сервер может сохранить на инфицированном устройстве и выполнить приложение, передать по запросу файл из своей директории и сообщать информацию о версии троянца. Отметим, что в майской версии Linux.LuaBot злоумышленники убрали функцию передачи данных о зараженном устройстве.

Linux.LuaBot общается с управляющим сервером по протоколу HTTP, при этом вся передаваемая информация шифруется. Для поиска свежих конфигурационных файлов и модулей используется сеть P2P на основе протокола Bittorent DHT, такого же, который задействован в обычных торрент-сетях. За эту функцию отвечает еще один скрипт. При этом принимаемые и передаваемые сообщения проверяются на подлинность с помощью цифровой подписи. Если P2P-сеть недоступна, отдельный сценарий выполняет обновление Linux.LuaBot с помощью других зараженных узлов, закачивая свои файлы на скомпрометированные устройства по специальному запросу. Этот сценарий присутствовал только в ранних версиях троянца.

Опасность Linux.LuaBot для владельцев Linux-устройств заключается в том, что этот троянец фактически является бэкдором, то есть способен выполнять поступающие от злоумышленников команды. Кроме того, ранние версии этой вредоносной программы запускали на скомпрометированном устройстве прокси-сервер, который злоумышленники использовали для анонимизации своих действий в Интернете.

Вирусные аналитики «Доктор Веб» собрали статистику об уникальных IP-адресах устройств, зараженных Linux.LuaBot. Географическое распределение этих адресов показано на следующей иллюстрации.



Специалистам «Доктор Веб» известно несколько модификаций Linux.LuaBot, отличающихся набором функций и архитектурными особенностями. Антивирус Dr.Web детектирует все существующие на сегодняшний день образцы Linux.LuaBot.

Linux.LuaBot в вирусной библиотеке:

Семейство вредоносных программ для ОС Linux. Троянцы семейства Linux.LuaBot представляют собой модифицированный интерпретатор языка Lua, в котором зашит вредоносный lua-сценарий. Этот сценарий устанавливает соединение с управляющим сервером, получает от него другие сценарии на языке lua и выполняет их. Загруженные на зараженное устройство сценарии могут выполнять различные функции: например, реализовывать атаки на отказ в обслуживании (DDoS-атаки) или устанавливать в систему другое вредоносное ПО.
Изображение
Официальный форум Linux Mint Russian - https://forums.linuxmint.com/viewforum.php?f=75
Linux Mint 19.1 XFCE 64bit (Kernel 4.18.0-16)
Пингвин птица гордая - не полетит, пока не пнёшь.

Аватара пользователя

Chocobo
Сообщения: 10015
Зарегистрирован: 27 авг 2016, 22:57
Решено: 215
Откуда: НН
Благодарил (а): 815 раз
Поблагодарили: 3008 раз
Контактная информация:

Вирусные новости для Linux

#2

29 май 2017, 19:03

Nickolas писал(а): При этом атаки выполняются как по протоколу Telnet, так и посредством SSH
то есть надо светить на внешку дефолтный 22 или 23 порт, с разрешением привилегированного доступа и надеяться что пароль им удастся сбрутфорсить :crazy: Ужас прям, гроза всех юниксов данный вирь

Что ж, антивирусы опять можно не ставить. ибо такой сценарий возможен только руками самого пользователя.
Nickolas писал(а): При этом специалистам «Доктор Веб» не удалось обнаружить в «дикой природе» сборки троянца для архитектуры SPARC
хех, эльбрусами повеяло сразу :-D На спарках разве какие-то особенные протоколы телнета или ссш, что к ним не применим сей метод?
Изображение
   
Изображение

Аватара пользователя

di_mok
Сообщения: 5469
Зарегистрирован: 27 авг 2016, 19:06
Решено: 32
Откуда: Арзамас
Благодарил (а): 1593 раза
Поблагодарили: 1276 раз
Контактная информация:

Вирусные новости для Linux

#3

29 май 2017, 19:27

Chocobo писал(а): то есть надо светить на внешку дефолтный 22 или 23 порт, с разрешением привилегированного доступа
Зря смеёшься, я очень близко знаю такого человека :-D
Настоящая водка — это не пьянство, а ключ к своей совести, с нее-то и начинается настоящая мудрость. (c)
Изображение

Аватара пользователя

Chocobo
Сообщения: 10015
Зарегистрирован: 27 авг 2016, 22:57
Решено: 215
Откуда: НН
Благодарил (а): 815 раз
Поблагодарили: 3008 раз
Контактная информация:

Вирусные новости для Linux

#4

29 май 2017, 19:38

di_mok, просто "новый ужасный вирус" пытается попасть в систему также как 20 лет назад, глупым брутфорсом.
желающим уроки контрацепции от подобного "зловреда" - пишите, разберем по пунктам :smile:
Изображение
   
Изображение

Аватара пользователя

SemenSinchenko
Сообщения: 340
Зарегистрирован: 17 фев 2017, 12:01
Решено: 2
Откуда: Москва
Благодарил (а): 43 раза
Поблагодарили: 46 раз
Контактная информация:

Вирусные новости для Linux

#5

29 май 2017, 19:39

Chocobo писал(а): Что ж, антивирусы опять можно не ставить.
Так антивирусы всегда ставились для проверки почты, которая отправляется виндусюзерам, а не для защиты своей машины...

Аватара пользователя

Unborn
Сообщения: 1920
Зарегистрирован: 03 сен 2016, 13:36
Решено: 24
Благодарил (а): 5 раз
Поблагодарили: 264 раза
Контактная информация:

Вирусные новости для Linux

#6

29 май 2017, 19:59

А то, что сам антивирус тот ещё конь в законе - тишина. Всё как обычно. В Винде шорох, надо и линупсоидов попугать.

Аватара пользователя

Chocobo
Сообщения: 10015
Зарегистрирован: 27 авг 2016, 22:57
Решено: 215
Откуда: НН
Благодарил (а): 815 раз
Поблагодарили: 3008 раз
Контактная информация:

Вирусные новости для Linux

#7

29 май 2017, 20:05

SemenSinchenko, может в случае корпоративного почтового сервера, и вряд ли как-то иначе)
Изображение
   
Изображение

Аватара пользователя

Дмитрий
Сообщения: 203
Зарегистрирован: 02 дек 2016, 16:42
Решено: 1
Откуда: Россия
Благодарил (а): 14 раз
Поблагодарили: 32 раза
Контактная информация:

Вирусные новости для Linux

#8

29 май 2017, 20:17

Я что то не так понял..., или действительно компания ДРВеб провела маркетинговые исследования и приняла решение об экономической целесообразности разработки вирусов под платформу Линукс с целью продвижения своих антивирусных продуктов?

Аватара пользователя

Chocobo
Сообщения: 10015
Зарегистрирован: 27 авг 2016, 22:57
Решено: 215
Откуда: НН
Благодарил (а): 815 раз
Поблагодарили: 3008 раз
Контактная информация:

Вирусные новости для Linux

#9

29 май 2017, 20:21

Дмитрий, Им бы и в радость, наверное, только вот сказать по теме толком нечего, как обычно. :smile:

Уязвимости конечно могут быть в теории использованы, но и тут антивирусы как правило бессильны.
А для удаленной эксплуатации уязвимостей - нужно к ней достучаться по сети, что снижает шансы на успех еще этак процентов на N-цать
Изображение
   
Изображение

Аватара пользователя

kobolt
Сообщения: 348
Зарегистрирован: 27 авг 2016, 21:53
Решено: 6
Откуда: Чебоксары
Благодарил (а): 40 раз
Поблагодарили: 121 раз
Контактная информация:

Вирусные новости для Linux

#10

30 май 2017, 08:24

Chocobo писал(а): желающим уроки контрацепции от подобного "зловреда" - пишите, разберем по пунктам
есть желающий. далек от всего этого, но интересно =)

Аватара пользователя

Дмитрий
Сообщения: 203
Зарегистрирован: 02 дек 2016, 16:42
Решено: 1
Откуда: Россия
Благодарил (а): 14 раз
Поблагодарили: 32 раза
Контактная информация:

Вирусные новости для Linux

#11

30 май 2017, 12:43

Chocobo писал(а): Дмитрий, Им бы и в радость, наверное, только вот сказать по теме толком нечего, как обычно. :smile:

Уязвимости конечно могут быть в теории использованы, но и тут антивирусы как правило бессильны.
А для удаленной эксплуатации уязвимостей - нужно к ней достучаться по сети, что снижает шансы на успех еще этак процентов на N-цать
Дак я ж не об успехе разработки виросов под Линух, а о признании, ну или как минимум экономическом интересе к платформе Линух... то биш мы ширимся и размножаемся (не поймите меня превратно)..., а это как ни посмотри новости хорошие :thumbs:

Аватара пользователя

Spartex
Сообщения: 15
Зарегистрирован: 31 окт 2016, 02:01
Благодарил (а): 10 раз
Поблагодарили: 5 раз
Контактная информация:

Вирусные новости для Linux

#12

30 май 2017, 15:42

kobolt писал(а):
Chocobo писал(а): желающим уроки контрацепции от подобного "зловреда" - пишите, разберем по пунктам
есть желающий. далек от всего этого, но интересно =)
Поддерживаю. Тоже хотелось бы узнать что-то новое.

no avatar

symon2014

Вирусные новости для Linux

#13

30 май 2017, 21:36

banner.lua

Сценарий содержит следующий текст:

ВСЁ ИДЁТ ПО ПЛАНУ
А при коммунизме всё будет за**ись
Он наступит скоро — надо только подождать
Там всё будет бесплатно,там всё будет в кайф
Там наверное вощще не надо будет (умирать)
Я проснулся среди ночи и понял, что -
ВСЁ ИДЁТ ПО ПЛАНУ
:rofl:
https://vms.drweb.ru/virus/?_is=2&i=15330283

Аватара пользователя

Chocobo
Сообщения: 10015
Зарегистрирован: 27 авг 2016, 22:57
Решено: 215
Откуда: НН
Благодарил (а): 815 раз
Поблагодарили: 3008 раз
Контактная информация:

Вирусные новости для Linux

#14

31 май 2017, 11:02

kobolt, Spartex, все довольно просто, если глубоко не вникать в ИБ. Начнем с того что ssh и telnet сервера у нас в минте искаропки нет. И установить их можно только самостоятельно. Первый вывод, что минт в базовой поставке неуязвим к этой атаке. :smile:
Далее.
  • Светить на внешку telnet порт, по моему опыту вообще никогда нет нужды. Прям не могу придумать юзкейс.
  • Если нужен ssh - достаточно:
    1. сменить стандартный 22-й порт на что нибудь подальше в диапазоне до 65535 (директива Port в /etc/ssh/sshd_config)
    2. Стойкий к перебору пароль с высокой энтропией, или вовсе отказ от них в пользу авторизации по ключам . Второй вариант сразу 100% защита от любого брутфорса.
    3. Если клиентское подключение за статикой, или хотя бы в известной подсети - разрешить доступ только с определенных IP или их диапазона.
Плюс были помню какие-то скрипты чуть упрощающие жизнь, которые автоматом добавляют адреса в черный список после неудачной попытки авторизации. Тоже довольно действенный метод

Ну и тем кто сидит за маршрутизатором (роутером) и не крутил настройки DMZ и проброса портов - также нестрашно, ибо ни вирь снаружи не долезет за NAT, ни поднять оттуда бэкдоры наружу у него не получится. Плюс всегда можно запустить и какой-нибудь параноидальный файрволл, которому явно разрешать только то что нам действительно нужно.
В Suse вроде такой режим сетевого экрана запилен искаропки

Если вкратце, то как-то вот так :smile:
Изображение
   
Изображение

Аватара пользователя

Dja
Сообщения: 6875
Зарегистрирован: 27 авг 2016, 20:03
Решено: 30
Откуда: Voskresensk
Благодарил (а): 1310 раз
Поблагодарили: 724 раза
Контактная информация:

Вирусные новости для Linux

#15

14 июн 2017, 13:14

SemenSinchenko писал(а): Так антивирусы всегда ставились для проверки почты, которая отправляется виндусюзерам, а не для защиты своей машины...
вот у меня к вам вопрос. Зачем тогда виндо-юзерам нужны антивирусы если им все будут слать почту уже проверенной? Т,е. не то чтобы они тогда и в интернет ходить не будут... просто непонятно зачем проверять то, что проверяется виндо-пространством по приходу. у него ж поди там аваст какой-нить, каспер или еще кто.

Аватара пользователя

SemenSinchenko
Сообщения: 340
Зарегистрирован: 17 фев 2017, 12:01
Решено: 2
Откуда: Москва
Благодарил (а): 43 раза
Поблагодарили: 46 раз
Контактная информация:

Вирусные новости для Linux

#16

14 июн 2017, 14:02

Dja, Тут неплохо расписано о том, что, например, ClamAV является лишь первым звеном антивирусной защиты:
А вот если учесть, что основное использование ClamAV - шлюзы и это первый рубеж антивирусной защиты инфраструктуры, то результат весьма и весьма неплох, с учетом возможности сканирования трафика (и не только почтового) на лету. Действительно, 50% вирусов отсеянные на первом этапе - это в разы меньшее количество вирусных инцидентов в вашей сети.
Мало ли что там у виндоюзера... Может он свой аваст не обновил.
Есть еще такая фишка, что антивирусы не ловят 100% вирусов, тогда отсеяв половину на первом рубеже защиты, еще перед отправкой мы существенно повышаем защищенность.
Аналогично с флешками и прочим хламом - если компьютер пользователя заражен чем-нибудь, что ворует пароли от WebMoney, а в остальном сидит тихо, то пользователь может искренне считать что все нормально (обычно значок аваста в таких случаях крутится, но сам аваст не работает, я такое видел как-то). Найдя в почте/флешке от него виндовский троян вы спасете ему много нервов.
Много в общем-то причин.

При этом я не знаю ни одной причины, почему бы тот же ClamAV не поставить... Ибо он под лицензий GNU и он почти не грузит систему (те же кедо-виджеты больше ресурсов жрут).

no avatar

abulaev2008
Сообщения: 514
Зарегистрирован: 18 ноя 2017, 21:36
Решено: 3
Благодарил (а): 24 раза
Поблагодарили: 70 раз
Контактная информация:

Вирусные новости для Linux

#17

29 сен 2018, 15:36

Не про вирусы для Линукс.
Просто читал РИА новости:

Американские СМИ рассказали о "страшном российском кибероружии"

МОСКВА, 29 сен — РИА Новости. Российские спецслужбы тайно разработали новый вид вредоносной программы, которую буквально невозможно удалить с компьютера, пишет Daily Beast со ссылкой на доклад компании ESET на конференции по безопасности Blue Hat.
Как утверждает издание, за создание вредоносной программы ответственна хакерская группа Fancy Bear, якобы связанная с российской разведкой. Новый вирус разработали на основе кода шпионской программы, предложенной в 2015 году другой хакерской группой Hacking Team. "Российские хакеры" позаимствовали код и усовершенствовали его, заявляет Daily Beast.
Первый намек на эту программу был обнаружен в марте этого года в приложении Absolute LoJack, которое позволяет владельцам ноутбуков определить местоположение похищенного устройства или дистанционно удалить с компьютера конфиденциальную информацию. Хакеры скопировали фоновый процесс этого приложения, который сохраняет контакт с его серверами, и сделали так, чтобы она отправляла информацию на сервер взломщиков.
Как утверждает издание, новая программа, названная LoJax, переписывает код, хранящийся в компьютерном чипе UEFI, маленьком кремниевом блоке на материнской плате компьютера, отвечающем за контроль загрузки и перезагрузки устройства. Ее цель заключается в сохранении доступа к компьютеру в случае переустановки операционной системы или форматирования жесткого диска, что обычно помогало в борьбе с вирусами.
Кроме того, как подчеркивает издание, LoJax играет роль телохранителя для вируса, найденного в приложении Absolute Lojack. При каждой перезагрузке взломанный чип UEFI проверяет, находится ли все еще вирус на жестком диске, и в случае отсутствия переустанавливает её.

Я так понимаю: это надо самому установить эту программулину, чтоб она переустановила БИОС (УЕФИ) чтоль.

Аватара пользователя

ikrost
Сообщения: 555
Зарегистрирован: 12 май 2017, 17:20
Решено: 1
Откуда: Тбилиси
Благодарил (а): 831 раз
Поблагодарили: 83 раза
Контактная информация:

Вирусные новости для Linux

#18

29 сен 2018, 16:23

А что в Латинской америке интернета нет? Или у них у всех линукс Минт стоит :tux:

no avatar

#serge
Сообщения: 33
Зарегистрирован: 22 июн 2018, 20:51
Благодарил (а): 37 раз
Поблагодарили: 6 раз
Контактная информация:

Вирусные новости для Linux

#19

06 дек 2018, 11:40

ikrost писал(а):
29 сен 2018, 16:23
А что в Латинской америке интернета нет? Или у них у всех линукс Минт стоит :tux:
По теме статьи мало что понял, т.к. не специалист. Но тоже возник вопрос, как они статистику собирали. Получается, что цифры показывают количество ПК и серверов с ОС Линукс, на которых стоит ДрВеб и не отжата галочка посылать отчеты? А цель статьи повысить эти цифры?

Ответить

Вернуться в «Другие новости»

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и 3 гостя