LINUX.ORG.RU

Обнаружена новая вредоносная программа для систем GNU/Linux

 ,


0

1

Исследователи из Netlab, подразделения компании 360, сообщили, что им удалось обнаружить новый бэкдор для Линукс, который они назвали RotaJakiro (из-за того, что эта группа вирусов использует сдвигаемое «rotate» шифрование, а поведение зависит от привилегированности пользователя). После заражения компьютера, злоумышленники получали полный доступ к управлению системой (через 443 порт, при помощи своего собственного протокола).

Cообщается, что бэкдор (а точнее семейство оных) оставался незамеченным как минимум 3 года.

Из технических особенностей:

  • RotaJakiro способен поражать системы на базе amd64
  • Бэкдор использует различные способы шифрования, чтобы затруднить обнаружение следов своей деятельности
  • Маскировка под системные процессы (типа systemd-daemon или gvfsd-helper)

Также сообщается, что в бэкдор были интегрированы 12 функций для загрузки, выполнения и удаления неких плагинов, а сами функции можно объединить в 4 группы:

  1. Получение и сообщение спецификаций устройства
  2. Кража конфиденциальной информации
  3. Работа с плагинами (запрос, загрузка, удаление)
  4. Выполнения плагина

>>> Подробности

★★★

Проверено: Shaman007 ()
Последнее исправление: xaizek (всего исправлений: 2)

обнаружить новый бэкдор для Линукс

Наконец-то!

grem ★★★★★
()

А кроме Шамана новости больше некому подтверждать? Не, я не намекаю - новости им подтвержденные - супер, правда, в кавычках. Просто, эпично будет, если мое расширение с блокировкой Шамана - подтвердит Шаман.

Шучу. WebExtension for Firefox будет после праздников. Не хотят натив пилить, решил свое сделать. Даже наименование с «Shoma, goodbye!» переименовал в «LORIgnore». Чтобы жопа не загорелась у некоторых. Да и чести много.

Надеюсь, один ростовский гентушник подтвердит, норм парень. Ростовские вообще пацаны хорошие))

Stack77
()
Последнее исправление: Stack77 (всего исправлений: 2)

Где ссылка на программу? В аур уже завезли?

pisqotron5000
()

Хотеть у себя

НУ И что, лорчане? Кто-нибудь то уже кинет ссыль на скачивание, ась?)

qbbr ★★★★★
()
Ответ на: комментарий от anonymous

В твоих категориях это диск Цэ и c:\Users соответствено.

Смефно)))

qbbr ★★★★★
()
Ответ на: комментарий от ugoday

Не, там по новости - разное поведение. Можно от рута, а можно от юзера. Но лучше, от первого, конечно.

Если серьезно, я не совсем понимаю зачем такую хрень вообще публиковать в «новости».

Stack77
()
Ответ на: комментарий от tiinn

Или DE накатить другое

Чувак, открой для себя метапакеты в своем пакетном менеджере! Одна команда и у тебя стоит еще один DE. Или открой для себя tasksel, если Debian/Ubuntu, в нем вообще астериксами в TUI это делается.

anonymous
()
Ответ на: комментарий от Stack77

Официально предлагают. Не, совсем не идиоты. Торвальдс там что-то «мнется» - гнать этих из Ъ С.

Ну в смысле curl address | sh – довольно распространённая практика установки ПО в Linux. Причём оно универсальнее AppImage, snap, flatpack, системный пакетный мэнеджер. Единственное, что нужно ещё контрольную сумму проверять.

kostyarin_ ★★
()

Дайте хоть вживую на них посмотреть, а то только в новостях и узнаёшь о вирусах для Linux …

Desmond_Hume ★★★★★
()
Ответ на: комментарий от Desmond_Hume

Дайте хоть вживую на них посмотреть, а то только в новостях и узнаёшь о вирусах для Linux …

Ну подними ханипот - это очень просто.

fornlr ★★★★★
()

Исследователи из Netlab

Читаешь их анализ, и создаётся впечатление, что он сделан на какой-то венде китайской версии. И точно, netlab-же - китайцы.

rupert ★★★★★
()
Ответ на: комментарий от Eddy_Em

А где ссылка на исходники? Хочу потыкать палочкой…

Это и есть исходники и получен весь этот карго на спец системе

anonymous
()
Ответ на: комментарий от Dog

Еще и | bash, ахах. Короче очередной вирус в исследовательских целях, по серьезному заразиться которым могут только полные нубы, понятно.

А что, компилятор раста так же принято устанавливать.

seiken ★★★★★
()
Ответ на: комментарий от anonymous

Чувак, открой для себя метапакеты в своем пакетном менеджере! Одна команда и у тебя стоит еще один DE. Или открой для себя tasksel, если Debian/Ubuntu, в нем вообще астериксами в TUI это делается.

Тут дело в чём. Задолбали, допустим, тормоза KDE, и накатил ты LXDE - а тормоза как были, так и остались. Тут для чистоты эксперимента лучше дистрибутив переустановить.

tiinn ★★★★★
()
Ответ на: Само- от Camel

воспроизведение себя самого, порождение собственных копий

Просто для этого надо вмешательство человека.

fernandos ★★★
() автор топика
Ответ на: комментарий от fernandos

cp — вирус

cp — вирус?

Если у вас cp запускается без вашего участия и распространяет себя, а потом попадает на другие ЭВМ (по сети ли, или переносом заражённых файлов на флешке, например), и там тоже распространяется, то да.

Если для распространения на других ЭВМ ей потребуется запуск пользователем, то это уже троян.

Camel ★★★★★
()
Ответ на: cp — вирус от Camel

Нет. Вы написали, что

Вирус это программа способная к саморепликации.

Ср — программа, способная к саморепликации.

fernandos ★★★
() автор топика
Ответ на: комментарий от fernandos

Само-

Ср — программа, способная к саморепликации.

Ну и как она будет самореплицироваться без запуска пользователем?

Camel ★★★★★
()
Ответ на: Само- от Camel

Я вам привёл определени из википедии. Или вы не способны прочесть? Это не про то, что оно будет выполняться без ведома пользователя, это про сам факт воспроизведения.

fernandos ★★★
() автор топика
Ответ на: комментарий от mx__

Почему в новости не указали с каких ip отдавались команды этим бэкдор ? (по ссылке ЭТО есть)

176.107.176.16 Ukraine|Kiev|Unknown 42331|PE_Freehost

anonymous
()
Ответ на: комментарий от seiken

Ну молодцы, если им сайт хакнут - весело будет. Скачать, проверить контрольные суммы, потом запускать, никак иначе.

Dog ★★★
()
Ответ на: комментарий от fernandos

Вирус же встраивается в другие программы

Как там в MS DOS живется?

anonymous
()
Ответ на: комментарий от fernandos

… то можно было бы потыкать их палочкой.

anonymous
()
Ответ на: комментарий от kostyarin_

Поттеринг в IBM/RedHat/Linux работает, а не в GNU.

И чо? А пшшш и ненужнод тоже только в IBM/Redhat присутствуют?

dimgel ★★★★★
()

Новости из мира антивирусов и всех этих кибер-бибер-безопасников всегда напоминают выдержки из голливудских триллеров. «Есть вооот такие страшные программы и вооот такие ужасные сети невероятных киберпреступных злоумышленников, мы раскрыли и наисследовали, но вам ничего конкретно не покажем, вот пока посмотрите на красивые хакерские скриншоты».

На эту тему вспоминается генератор шпионских устройств NSA - https://ternus.github.io/nsaproductgenerator/.

То есть, подобные репортажи со стороны абсолютно неотличимы от нейросетевого текста, и также абсолютно бесполезны. Зато конркетная эмоциональная тональность и источник, занимающийся коммерческой деятельностью у них есть.

anonymous
()
Ответ на: комментарий от fornlr

Лучше дай ссылку на галерею твоих аватарочных поней. Вот так не зашел, не успел сохранить, а потом зудит, что пропустил!

anonymous
()
Ответ на: комментарий от AlexVR

никогда переход i386->amd64 не делал?

там проще будет как tiinn написал

mumpster ★★★★★
()
  1. Как происходит заражение?
  2. Как происходит (и происходит ли) повышение привилегий?
hatred ★★★
()
Ответ на: комментарий от fernandos

Вирус же встраивается в другие программы (заражет, он же вирус)

Полностью согласен с подобной формулировкой. Более того, мне кажется, что вирусы вымерли как класс. Если кто скажет/покажет именно вирус последних дней, то буду благодарен.

Бекдор уже инструмент для закрепления в скомпрометированной системе. Но если он использует механизмы самораспространения или самовнедрения («ткни меня» или ещё как), то это уже на троянца больше походит. Зловред в общем.

hatred ★★★
()
Ответ на: комментарий от hatred

Как происходит заражение?

Пока что метод заражения не известен, думаю, это возможно через уязвимость где-либо (в браузере, приложении), возможно, непосредственным запуском файла.

Как происходит (и происходит ли) повышение привилегий

В этом и интерес, ему не нужно это делать, он просто будет себя иначе вести, если запустил не рут, а пользователь. Но структура у него модульная, это усложняет исследование.

fernandos ★★★
() автор топика

systemd-daemon

Аааа, опять слаку мимо прошли, а я так хотеть этот вирус... обыдно да...

anc ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.