LINUX.ORG.RU
ФорумTalks

Появился под Linux вирус - OrBit

 , , ,


0

2

It-компания Intezer Labs опубликовала отчёт о новом вирусе для платформы Linux, которому присвоено название OrBit. Данный вирус успешно похищает информацию с заражённых ПК, и с трудом поддаётся обнаружению при сканировании антивирусным ПО.

Вирус атакует компьютеры, изменяя переменную среды LD_PRELOAD, причём использует сразу два способа загрузки вредоносной библиотеки: добавляя общий объект в файл конфигурации загрузчика или внося в него модификации напрямую.

OrBit способен перехватывать управление ключевыми функциями системы, вести сбор и запись данных аккаунтов, а также предоставлять злоумышленникам возможность удалённого доступа через SSH к заражённым машинам. Чтобы избежать обнаружения, хакерское ПО маскируется под системные службы, становясь почти невидимым для антивирусов, коих под linux нет.

Разработчики систем защиты уже начали вносить OrBit в базы данных своих приложений. Реакция разработчиков программного обеспечения по вопросу закрытия уязвимости и номер CVE не сообщаются.

Пруфлинк

Перемещено shell-script из security



Последнее исправление: ipkirill21x (всего исправлений: 1)
Ответ на: комментарий от fornlr

Супер комьюнити профессионального аудита 🤣

community contains packages that have been adopted by Trusted Users from the Arch User Repository. Some of these packages may eventually make the transition to the core or extra repositories as the developers consider them crucial to the distribution.

Вполне себе серьёзно. Откуда такое отношение к arch и archbased. Это конечно не Debian stable но троянов в официальных репах у них точно нет. Да и в AUR тоже.

И да, многие линуксоиды не брезгуют этим с торрентов

Чем? Качают торренты? Конечно качают. Только очень мало вероятно что кто-то из линуксоидов запустит под рутом исполняемый файл с расширением torrent, да и не под рутом тоже.

AleksK ★★★
()
Ответ на: комментарий от peregrine

например KES, он и твой https трафик посмотрит и к файлику доступ закроет, если захочет, под онтопиком, да

kott ★★★★★
()
Ответ на: комментарий от kott

Не обязательно. Но это одно из обязательных требований. Ещё говорят в линуксах смысла в антивирусах не так много (это майкрософт может не патчить дыры годами для совместимости), надо не симптомы лечить, а причину заболевания. Симптомы лечить поздно, к тому моменту когда вирус недельку посидел на сервере, всё что надо уже слилось в сеть или зашифровалось успешно.

peregrine ★★★★★
()
Последнее исправление: peregrine (всего исправлений: 1)
Ответ на: комментарий от peregrine

понятно, антивирусов нет, но оказывается есть, но причина в другом

kott ★★★★★
()
Ответ на: комментарий от kott

Я - ничего не сделаю. А специалисты по безопасности, вычислят сервер и как минимум прикроют. Что уже неоднократно практиковалось с настоящими зловредами.

ну и наивно полагать, что он там «вбит», список тупо скачивается

Какая разница? Соединение установлено? Туннель висит? Значит я его увижу в открытых исходящих.

огда этим сервером будет libera.chat, или gmail.com или серверы телеги, матрикса whatever

Не пускает.

└─> ssh -l kott gmail.com
^C
shell-script ★★★★★
()
Ответ на: комментарий от kott

А ты не знаешь похоже. На жертве нужно что-то что слушает порт и при этом дырявое как говно. Иначе ничего не выйдет.

peregrine ★★★★★
()
Ответ на: комментарий от shell-script

Не прикроют. Кто им даст то. Даже ФСБ/ФБР/АНБ лесом пошлют, если адресок в Швейцарии, а пока бумажки все оформят, то уже поздно будет его закрывать, он в Израиль переедет, а потом в Нигерию.

peregrine ★★★★★
()
Ответ на: комментарий от shell-script

Значит я его увижу в открытых исходящих

а, я понял, вычислишь по айпи

kott ★★★★★
()
Ответ на: комментарий от kott

то есть скачать и запустить ничего не мешает, так?

Только твой мозг сможет помешать это сделать. Патч Бармина ты тоже сможешь запустить если хочешь он при неудачных обстоятельствах ещё и UEFI снесет нафиг и ноут окирпичит.

AleksK ★★★
()
Ответ на: комментарий от AleksK

верно, линукс оказывается никак не защищает, да?

kott ★★★★★
()
Ответ на: комментарий от kott

Я уже написал. Я - никак. А нормальные исследователи(а не шарлатаны из ОП-поста), найдут способы. Гугли про истории успеха сам.

shell-script ★★★★★
()
Ответ на: комментарий от kott

Потому что написано, что этот «вирус» использует ssh.

Ну и в принципе, какая разница? Чем вирусу поможет доступ к гуглопочте по любому другому протоколу? ssh over smtp?

shell-script ★★★★★
()
Последнее исправление: shell-script (всего исправлений: 1)
Ответ на: комментарий от AleksK

Их просто применить пока особо некуда, кроме сканирования виндовых шар и почты на виндовые же зловреды.

Очень хочу посмотреть в любом случае, насколько от будущих зловредов под линукс будет спасать не-сидение под рутом и репозитории. Именно про десктоп речь, где нет сетевых сервисов и машина за NAT.

yu-boot ★★★★★
()
Ответ на: комментарий от kott

Рассказывай, как ты сделаешь бек-коннект через сервер гугла.

shell-script ★★★★★
()
Ответ на: комментарий от shell-script

ssh over smtp?

ага, догадался, ну не совсем это быстро будет, но доступ к машине номинально есть, за поимкой злоумышленника - в гугл, только уже буквально

kott ★★★★★
()
Последнее исправление: kott (всего исправлений: 1)
Ответ на: комментарий от shell-script

то есть, про троянцев работающих через irc в 90-х ты не слышал? про php ботов работающих через почту, тоже нет?

ЗЫ в гугле даже когда-то jabber сервер был публичный, но чёт прикрыли :)

kott ★★★★★
()
Последнее исправление: kott (всего исправлений: 2)
Ответ на: комментарий от kott

Про это всё слышал. Сам в молодости писал бота для IRC, который умел удалённые команды выполнять.

Здесь же нам говорят, что «вирус» устанавливает именно ssh-соединение со скомпроментированной машиной. И таки жду, как ты это реализуешь через почтовый гуглосервер.

shell-script ★★★★★
()
Ответ на: комментарий от shell-script

Про это всё слышал.

И таки жду, как ты это реализуешь через почтовый гуглосервер.

в чем разница между irc и почтой?

Здесь же нам говорят, что «вирус» устанавливает именно ssh-соединение со скомпроментированной машиной.

но ты сам влез в мой ответ про бэкконнект, а теперь это нельзя обсуждать, потому что в новости про него не написано?

kott ★★★★★
()
Ответ на: комментарий от kott

в чем разница между irc и почтой?

В случае, когда нам нужен ssh - никакой. Оба не нужны.

Что касается бекконнекта - зловред должен создать туннель с удалённой машиной, через который уже взломщик попадёт на атакуемую систему. Как это сделать через гуглосервер?

shell-script ★★★★★
()
Ответ на: комментарий от kott

The malware implements advanced evasion techniques and gains persistence on the machine by hooking key functions, provides the threat actors with remote access capabilities over SSH, harvests credentials, and logs TTY commands.

shell-script ★★★★★
()
Ответ на: комментарий от shell-script

тут уже сложно возразить, раз в «статье» написано… но ведь зачем-то ты полез чота писать про сервера злоумышленников… компетентные органы

kott ★★★★★
()
Ответ на: комментарий от peregrine

Как минимум, uac не запрашивает пароль.

Чего? Мне вот «вендузятникам» прошлось дать совет поставьте пароль «1»

fornlr ★★★★★
()
Ответ на: комментарий от kott

Потому что с настоящими вирусописателями так и борятся. Если взломщик глуп и держит свой сервер для управления - находят его. Если пользуется чужими в качестве прокси, просто их прикрывают. Что делает подобные, описанные в статье механизмы бесполезными.

Но тут опять же, про бекконнект - ты сам додумал. В статье ни слова не сказано, как именно устанавливается ssh-соединение. Но факт в том, что раз оно устанавливается, вычислить такого зловреда очень легко при наличии минимального мониторинга.

shell-script ★★★★★
()
Последнее исправление: shell-script (всего исправлений: 1)
Ответ на: комментарий от shell-script

Если пользуется чужими в качестве прокси, просто их прикрывают.

кого, сервер гугл прикроют? тут вроде только соцсети банят, и то по другой причине

В статье ни слова не сказано, как именно устанавливается ssh-соединение.

если ты думаешь, что регулярно упоминание «статьи» как-то тебе помогает - то ошибаешься

kott ★★★★★
()
Последнее исправление: kott (всего исправлений: 1)
Ответ на: комментарий от kott

если ты думаешь, что регулярно упоминание «статьи» как-то тебе помогает - то ошибаешься

Я лично прочитал статью с описанием «вируса» и его обсуждаю. И вижу в конкретно этой статье глупые заявления, на которые и указываю. Никакая помощь мне не нужна.

shell-script ★★★★★
()
Ответ на: комментарий от peregrine

Закон

Там война, если я правильно понимаю. Коммерсанты облепливаются лицензиями ФСБ и т.п. контор и впихивают гос-ву машины с Линуксами, заведомо пропихнув путаное т/з, чтоб никто больше не полез. От одного из коммерсантов слышал, что поставляют РедОС. Почему она, не раскрывается)) Когда я рассказал, что поддержка, скажем, у Альта лучше, отвечают, что это дебри и главное — другое. Что другое, неизвестно.

w201403
()

Вирус компилится норм ? Что для сборки нужно ?

windows10 ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.