Вирусные новости для Linux

Аватара пользователя

Автор темы
Nickolas
Сообщения: 288
Зарегистрирован: 14 сен 2016, 02:44
Решено: 3
Благодарил (а): 101 раз
Поблагодарили: 104 раза

Вирусные новости для Linux

Сообщение Nickolas » 29 май 2017, 15:39

«Доктор Веб» исследовал многокомпонентного троянца для Linux
25 мая 2017 года

Вредоносные программы для операционных систем семейства Linux не столь распространены по сравнению с Windows-троянцами. Тем не менее они представляют серьезную угрозу для пользователей. Специалисты «Доктор Веб» исследовали сложного многокомпонентного троянца, способного заражать устройства под управлением Linux с различной аппаратной архитектурой.

Первые атаки с применением троянца, вошедшего в семейство Linux.LuaBot, специалисты «Доктор Веб» фиксировали еще в декабре 2016 года. Все представители семейства написаны на скриптовом языке Lua. Троянец непрерывно эволюционирует с ноября 2016 года, и новые версии Linux.LuaBot появляются с завидной регулярностью. Вредоносная программа Linux.LuaBot представляет собой набор из 31 Lua-сценария и двух дополнительных модулей, каждый из которых выполняет собственную функцию. Троянец способен заражать устройства с архитектурами Intel x86 (и Intel x86_64), MIPS, MIPSEL, Power PC, ARM, SPARC, SH4, M68k – иными словами, не только компьютеры, но и широчайший ассортимент роутеров, телевизионных приставок, сетевых хранилищ, IP-камер и других «умных» девайсов. При этом специалистам «Доктор Веб» не удалось обнаружить в «дикой природе» сборки троянца для архитектуры SPARC: заражающий устройства инфектор троянца умеет определять эту архитектуру, но реально существующих модулей для нее не выявлено.

Все входящие в состав Linux.LuaBot сценарии взаимосвязаны. Троянец генерирует список IP-адресов, которые будет атаковать, а затем пытается соединиться с удаленными устройствами по созданному списку и авторизоваться путем перебора логинов и паролей по словарю. Скрипты, с использованием которых осуществляется взлом сетевых узлов, умеют определять архитектуру атакуемого устройства и, кроме того, имеют специальный механизм для детектирования «ханипотов» (от англ. honeypot, «горшочек с медом») — серверов, играющих роль приманки для злоумышленников. С помощью «ханипотов» специалисты по информационной безопасности изучают методики атак и инструментарий злоумышленников. При этом атаки выполняются как по протоколу Telnet, так и посредством SSH — за работу с каждым из этих протоколов отвечает отдельный Lua-сценарий. Если получить доступ к устройству удалось, вредоносный скрипт устанавливает на него троянца Linux.LuaBot соответствующей архитектуры. В процессе атаки по протоколу Telnet на скомпрометированный узел сначала загружается небольшой модуль, который, запустившись, скачивает самого троянца, при атаке по протоколу SSH троянец загружается сразу.

Один из модулей Linux.LuaBot представляет собой полноценный веб-сервер, работающий по протоколу HTTP. Сервер может сохранить на инфицированном устройстве и выполнить приложение, передать по запросу файл из своей директории и сообщать информацию о версии троянца. Отметим, что в майской версии Linux.LuaBot злоумышленники убрали функцию передачи данных о зараженном устройстве.

Linux.LuaBot общается с управляющим сервером по протоколу HTTP, при этом вся передаваемая информация шифруется. Для поиска свежих конфигурационных файлов и модулей используется сеть P2P на основе протокола Bittorent DHT, такого же, который задействован в обычных торрент-сетях. За эту функцию отвечает еще один скрипт. При этом принимаемые и передаваемые сообщения проверяются на подлинность с помощью цифровой подписи. Если P2P-сеть недоступна, отдельный сценарий выполняет обновление Linux.LuaBot с помощью других зараженных узлов, закачивая свои файлы на скомпрометированные устройства по специальному запросу. Этот сценарий присутствовал только в ранних версиях троянца.

Опасность Linux.LuaBot для владельцев Linux-устройств заключается в том, что этот троянец фактически является бэкдором, то есть способен выполнять поступающие от злоумышленников команды. Кроме того, ранние версии этой вредоносной программы запускали на скомпрометированном устройстве прокси-сервер, который злоумышленники использовали для анонимизации своих действий в Интернете.

Вирусные аналитики «Доктор Веб» собрали статистику об уникальных IP-адресах устройств, зараженных Linux.LuaBot. Географическое распределение этих адресов показано на следующей иллюстрации.



Специалистам «Доктор Веб» известно несколько модификаций Linux.LuaBot, отличающихся набором функций и архитектурными особенностями. Антивирус Dr.Web детектирует все существующие на сегодняшний день образцы Linux.LuaBot.

Linux.LuaBot в вирусной библиотеке:

Семейство вредоносных программ для ОС Linux. Троянцы семейства Linux.LuaBot представляют собой модифицированный интерпретатор языка Lua, в котором зашит вредоносный lua-сценарий. Этот сценарий устанавливает соединение с управляющим сервером, получает от него другие сценарии на языке lua и выполняет их. Загруженные на зараженное устройство сценарии могут выполнять различные функции: например, реализовывать атаки на отказ в обслуживании (DDoS-атаки) или устанавливать в систему другое вредоносное ПО.

Официальный форум Linux Mint Russian - https://forums.linuxmint.com/viewforum.php?f=75
Linux Mint 18.2 XFCE 64bit (Kernel 4.10.0)
Пингвин птица гордая - не полетит, пока не пнёшь.

Аватара пользователя

Chocobo
Сообщения: 5110
Зарегистрирован: 27 авг 2016, 19:57
Решено: 122
Откуда: НН
Благодарил (а): 384 раза
Поблагодарили: 1330 раз

Вирусные новости для Linux

Сообщение Chocobo » 29 май 2017, 16:03

Nickolas писал(а): При этом атаки выполняются как по протоколу Telnet, так и посредством SSH
то есть надо светить на внешку дефолтный 22 или 23 порт, с разрешением привилегированного доступа и надеяться что пароль им удастся сбрутфорсить :crazy: Ужас прям, гроза всех юниксов данный вирь

Что ж, антивирусы опять можно не ставить. ибо такой сценарий возможен только руками самого пользователя.
Nickolas писал(а): При этом специалистам «Доктор Веб» не удалось обнаружить в «дикой природе» сборки троянца для архитектуры SPARC
хех, эльбрусами повеяло сразу :-D На спарках разве какие-то особенные протоколы телнета или ссш, что к ним не применим сей метод?

Аватара пользователя

di_mok
Сообщения: 2008
Зарегистрирован: 27 авг 2016, 16:06
Решено: 15
Откуда: Арзамас
Благодарил (а): 543 раза
Поблагодарили: 313 раз

Вирусные новости для Linux

Сообщение di_mok » 29 май 2017, 16:27

Chocobo писал(а): то есть надо светить на внешку дефолтный 22 или 23 порт, с разрешением привилегированного доступа
Зря смеёшься, я очень близко знаю такого человека :-D
Настоящая водка — это не пьянство, а ключ к своей совести, с нее-то и начинается настоящая мудрость. (c)

Аватара пользователя

Chocobo
Сообщения: 5110
Зарегистрирован: 27 авг 2016, 19:57
Решено: 122
Откуда: НН
Благодарил (а): 384 раза
Поблагодарили: 1330 раз

Вирусные новости для Linux

Сообщение Chocobo » 29 май 2017, 16:38

di_mok, просто "новый ужасный вирус" пытается попасть в систему также как 20 лет назад, глупым брутфорсом.
желающим уроки контрацепции от подобного "зловреда" - пишите, разберем по пунктам :smile:

Аватара пользователя

SemenSinchenko
Сообщения: 316
Зарегистрирован: 17 фев 2017, 09:01
Решено: 2
Откуда: Москва
Благодарил (а): 40 раз
Поблагодарили: 41 раз

Вирусные новости для Linux

Сообщение SemenSinchenko » 29 май 2017, 16:39

Chocobo писал(а): Что ж, антивирусы опять можно не ставить.
Так антивирусы всегда ставились для проверки почты, которая отправляется виндусюзерам, а не для защиты своей машины...


Unborn
Сообщения: 712
Зарегистрирован: 03 сен 2016, 10:36
Решено: 14
Благодарил (а): 2 раза
Поблагодарили: 109 раз

Вирусные новости для Linux

Сообщение Unborn » 29 май 2017, 16:59

А то, что сам антивирус тот ещё конь в законе - тишина. Всё как обычно. В Винде шорох, надо и линупсоидов попугать.

Аватара пользователя

Chocobo
Сообщения: 5110
Зарегистрирован: 27 авг 2016, 19:57
Решено: 122
Откуда: НН
Благодарил (а): 384 раза
Поблагодарили: 1330 раз

Вирусные новости для Linux

Сообщение Chocobo » 29 май 2017, 17:05

SemenSinchenko, может в случае корпоративного почтового сервера, и вряд ли как-то иначе)


Дмитрий
Сообщения: 66
Зарегистрирован: 02 дек 2016, 13:42
Откуда: Россия
Благодарил (а): 5 раз
Поблагодарили: 6 раз

Вирусные новости для Linux

Сообщение Дмитрий » 29 май 2017, 17:17

Я что то не так понял..., или действительно компания ДРВеб провела маркетинговые исследования и приняла решение об экономической целесообразности разработки вирусов под платформу Линукс с целью продвижения своих антивирусных продуктов?

Аватара пользователя

Chocobo
Сообщения: 5110
Зарегистрирован: 27 авг 2016, 19:57
Решено: 122
Откуда: НН
Благодарил (а): 384 раза
Поблагодарили: 1330 раз

Вирусные новости для Linux

Сообщение Chocobo » 29 май 2017, 17:21

Дмитрий, Им бы и в радость, наверное, только вот сказать по теме толком нечего, как обычно. :smile:

Уязвимости конечно могут быть в теории использованы, но и тут антивирусы как правило бессильны.
А для удаленной эксплуатации уязвимостей - нужно к ней достучаться по сети, что снижает шансы на успех еще этак процентов на N-цать

Аватара пользователя

kobolt
Сообщения: 252
Зарегистрирован: 27 авг 2016, 18:53
Решено: 5
Откуда: Чебоксары
Благодарил (а): 29 раз
Поблагодарили: 80 раз

Вирусные новости для Linux

Сообщение kobolt » 30 май 2017, 05:24

Chocobo писал(а): желающим уроки контрацепции от подобного "зловреда" - пишите, разберем по пунктам
есть желающий. далек от всего этого, но интересно =)


Дмитрий
Сообщения: 66
Зарегистрирован: 02 дек 2016, 13:42
Откуда: Россия
Благодарил (а): 5 раз
Поблагодарили: 6 раз

Вирусные новости для Linux

Сообщение Дмитрий » 30 май 2017, 09:43

Chocobo писал(а): Дмитрий, Им бы и в радость, наверное, только вот сказать по теме толком нечего, как обычно. :smile:

Уязвимости конечно могут быть в теории использованы, но и тут антивирусы как правило бессильны.
А для удаленной эксплуатации уязвимостей - нужно к ней достучаться по сети, что снижает шансы на успех еще этак процентов на N-цать
Дак я ж не об успехе разработки виросов под Линух, а о признании, ну или как минимум экономическом интересе к платформе Линух... то биш мы ширимся и размножаемся (не поймите меня превратно)..., а это как ни посмотри новости хорошие :thumbs:

Аватара пользователя

Spartex
Сообщения: 15
Зарегистрирован: 30 окт 2016, 23:01
Благодарил (а): 10 раз
Поблагодарили: 6 раз

Вирусные новости для Linux

Сообщение Spartex » 30 май 2017, 12:42

kobolt писал(а):
Chocobo писал(а): желающим уроки контрацепции от подобного "зловреда" - пишите, разберем по пунктам
есть желающий. далек от всего этого, но интересно =)
Поддерживаю. Тоже хотелось бы узнать что-то новое.

Аватара пользователя

symon2014
Сообщения: 1580
Зарегистрирован: 29 авг 2016, 02:17
Решено: 18
Откуда: Феодосия
Благодарил (а): 47 раз
Поблагодарили: 417 раз

Вирусные новости для Linux

Сообщение symon2014 » 30 май 2017, 18:36

banner.lua

Сценарий содержит следующий текст:

ВСЁ ИДЁТ ПО ПЛАНУ
А при коммунизме всё будет за**ись
Он наступит скоро — надо только подождать
Там всё будет бесплатно,там всё будет в кайф
Там наверное вощще не надо будет (умирать)
Я проснулся среди ночи и понял, что -
ВСЁ ИДЁТ ПО ПЛАНУ
:rofl:
https://vms.drweb.ru/virus/?_is=2&i=15330283
:sry:
Debian (9.1) , LMDE2 , LM 18.2 Mate . Благодарности складываем сюда ---> R320161344462

Аватара пользователя

Chocobo
Сообщения: 5110
Зарегистрирован: 27 авг 2016, 19:57
Решено: 122
Откуда: НН
Благодарил (а): 384 раза
Поблагодарили: 1330 раз

Вирусные новости для Linux

Сообщение Chocobo » 31 май 2017, 08:02

kobolt, Spartex, все довольно просто, если глубоко не вникать в ИБ. Начнем с того что ssh и telnet сервера у нас в минте искаропки нет. И установить их можно только самостоятельно. Первый вывод, что минт в базовой поставке неуязвим к этой атаке. :smile:
Далее.
  • Светить на внешку telnet порт, по моему опыту вообще никогда нет нужды. Прям не могу придумать юзкейс.
  • Если нужен ssh - достаточно:
    1. сменить стандартный 22-й порт на что нибудь подальше в диапазоне до 65535 (директива Port в /etc/ssh/sshd_config)
    2. Стойкий к перебору пароль с высокой энтропией, или вовсе отказ от них в пользу авторизации по ключам . Второй вариант сразу 100% защита от любого брутфорса.
    3. Если клиентское подключение за статикой, или хотя бы в известной подсети - разрешить доступ только с определенных IP или их диапазона.
Плюс были помню какие-то скрипты чуть упрощающие жизнь, которые автоматом добавляют адреса в черный список после неудачной попытки авторизации. Тоже довольно действенный метод

Ну и тем кто сидит за маршрутизатором (роутером) и не крутил настройки DMZ и проброса портов - также нестрашно, ибо ни вирь снаружи не долезет за NAT, ни поднять оттуда бэкдоры наружу у него не получится. Плюс всегда можно запустить и какой-нибудь параноидальный файрволл, которому явно разрешать только то что нам действительно нужно.
В Suse вроде такой режим сетевого экрана запилен искаропки

Если вкратце, то как-то вот так :smile:

Аватара пользователя

Dja
Сообщения: 2117
Зарегистрирован: 27 авг 2016, 17:03
Решено: 11
Откуда: Воскресенск
Благодарил (а): 309 раз
Поблагодарили: 231 раз

Вирусные новости для Linux

Сообщение Dja » 14 июн 2017, 10:14

SemenSinchenko писал(а): Так антивирусы всегда ставились для проверки почты, которая отправляется виндусюзерам, а не для защиты своей машины...
вот у меня к вам вопрос. Зачем тогда виндо-юзерам нужны антивирусы если им все будут слать почту уже проверенной? Т,е. не то чтобы они тогда и в интернет ходить не будут... просто непонятно зачем проверять то, что проверяется виндо-пространством по приходу. у него ж поди там аваст какой-нить, каспер или еще кто.
Новичок? - ознакомься с правилами

В поисках истины :grabli:

Аватара пользователя

SemenSinchenko
Сообщения: 316
Зарегистрирован: 17 фев 2017, 09:01
Решено: 2
Откуда: Москва
Благодарил (а): 40 раз
Поблагодарили: 41 раз

Вирусные новости для Linux

Сообщение SemenSinchenko » 14 июн 2017, 11:02

Dja, Тут неплохо расписано о том, что, например, ClamAV является лишь первым звеном антивирусной защиты:
А вот если учесть, что основное использование ClamAV - шлюзы и это первый рубеж антивирусной защиты инфраструктуры, то результат весьма и весьма неплох, с учетом возможности сканирования трафика (и не только почтового) на лету. Действительно, 50% вирусов отсеянные на первом этапе - это в разы меньшее количество вирусных инцидентов в вашей сети.
Мало ли что там у виндоюзера... Может он свой аваст не обновил.
Есть еще такая фишка, что антивирусы не ловят 100% вирусов, тогда отсеяв половину на первом рубеже защиты, еще перед отправкой мы существенно повышаем защищенность.
Аналогично с флешками и прочим хламом - если компьютер пользователя заражен чем-нибудь, что ворует пароли от WebMoney, а в остальном сидит тихо, то пользователь может искренне считать что все нормально (обычно значок аваста в таких случаях крутится, но сам аваст не работает, я такое видел как-то). Найдя в почте/флешке от него виндовский троян вы спасете ему много нервов.
Много в общем-то причин.

При этом я не знаю ни одной причины, почему бы тот же ClamAV не поставить... Ибо он под лицензий GNU и он почти не грузит систему (те же кедо-виджеты больше ресурсов жрут).

Вернуться в «Другие новости»