Запуск кода под видом обычного файла.

bash, безопасность, интерпретатор, код, малварь

0

1

Читаю про новый малварь который маскируется про электронные книги.

«ViperSoftX is that it uses the Common Language Runtime (CLR) to dynamically load and run PowerShell commands, thereby creating a PowerShell environment within AutoIt for operations. By utilizing CLR, ViperSoftX can seamlessly integrate PowerShell functionality, allowing it to execute malicious functions while evading detection mechanisms that might otherwise flag standalone PowerShell activity.»

А что мешает на debian-подобном дистрибьютиве провернуть подобную схему? Упаковать исполняемый скрипт в файл имитирующий видео/книгу/картинку? У меня небольшая фобия при скачивании чего-то с разных p2p торрент-трекеров.

←	Кто сможет расшифровать шелл?

как добавить «левый» репозиторий?

→

Дык, вирус этот оффтопиковый, нет?

sparkie ★★★★★
(11.07.24 13:25:51 MSK)

А что мешает на debian-подобном дистрибьютиве провернуть подобную схему?

Execute bit?

einhander ★★★★★
(11.07.24 13:28:34 MSK)

с разных p2p торрент-трекеров

Качай не с разных. Два-три плюс флибуста

NyXzOr ★★★★
(11.07.24 13:57:49 MSK)

bug#24604: Add ‘–no-preserve-roots’

anonymous
(11.07.24 14:04:07 MSK)

Заведи пол зователя для видео, книг и отбери у него права на /bin/bash

Дополнительно:

Свежий, «бесплатный» антивирус Касперского... для линукса. (комментарий)

anonymous
(11.07.24 14:47:23 MSK)

Потому что когда ты напишешь mpv имя_файла_имитирующего_видео то у тебя запустится именно mpv, и если в этом файле не будет видео - он выдаст ошибку. Запустить же само фейк-видео в качестве программы можно только явно это указав.

firkax ★★★★★
(11.07.24 19:11:38 MSK)

Ответ на: комментарий от firkax 11.07.24 19:11:38 MSK

если в этом файле не будет видео - он выдаст ошибку

Это если у тебя нет уязвимости в ffmpeg, эксплуатируемой через специально подготовленный файл.

anonymous
(11.07.24 19:20:22 MSK)

Ответ на: комментарий от anonymous 11.07.24 19:20:22 MSK

Это уже другая тема, она никуда не девалась то тут не про неё речь.

firkax ★★★★★
(11.07.24 19:43:59 MSK)

Ответ на: комментарий от einhander 11.07.24 13:28:34 MSK

Execute bit?

давай научу

bash "путь и имя твоего скрипта"

исполняемый бит не нужен, это доказывает, что всё держится на найденных уязвимостях в программах которые открывают файлы

peregrine ★★★★★
(11.07.24 19:49:27 MSK)
Последнее исправление: peregrine 11.07.24 19:50:50 MSK (всего исправлений: 1)

Ответ на: комментарий от peregrine 11.07.24 19:49:27 MSK

bash «путь и имя твоего скрипта»

Кто в здравом уме будет открывать картинку башем?

einhander ★★★★★
(11.07.24 20:55:44 MSK)

Линуксойлы сами малварь запустят через

curl http://example/com/setup.sh | sh -

Зачем ещё заморачиваться то?

mittorn ★★★★★
(12.07.24 00:13:42 MSK)
Последнее исправление: mittorn 12.07.24 00:14:03 MSK (всего исправлений: 2)

Ну, уязвимость CVE-2017-14604 давно закрыли, когда наутилус показывал .desktop-файлы как картинки, но вместо открытия запускал.

А от запуска «самораспаковывающихся» архивов, взятых из подворотни, лекарства нет. Если пользователь сильно захочет запустить на выполнение картинку, ему на форумах помогут, вплоть до патча Бармина.

mky ★★★★★
(12.07.24 04:40:16 MSK)

В винде вообще расширения файлов по умолчанию скрыты, чего удивляться такому-то.

Иронично, в линуксе везде велосипеды ФМ, поэтому очень сложно такое провернуть в масштабе.

Bfgeshka ★★★★★
(12.07.24 05:00:49 MSK)

Ответ на: комментарий от einhander 11.07.24 20:55:44 MSK

dolphin был за похожим замечен https://www.opennet.ru/opennews/art.shtml?num=51235, сейчас пофиксили, но было эпично, мало ли что наркоманам опенсорс разрабатывающим в голову взбредёт

anonymous
(12.07.24 05:11:14 MSK)

Ответ на: комментарий от mky 12.07.24 04:40:16 MSK

Ля, они аж 2 раза её делали кек

anonymous
(12.07.24 05:12:51 MSK)

←	Кто сможет расшифровать шелл?

Security

как добавить «левый» репозиторий?

→

Похожие темы