LINUX.ORG.RU

Выявлен бэкдор, организующий скрытый канал связи в легитимном сетевом трафике

 ,


0

2

В результате анализа атаки на одного из крупных хостинг-провайдеров выявлен новый вид бэкдора для GNU/Linux, выполненный в форме разделяемой библиотеки, перехватывающей ряд стандартных вызовов. Библиотека связывается с работающими на системе сетевыми процессами, такими как sshd, берёт на себя обработку указанных вызовов и получает контроль над трафиком поражённых серверных приложений.

При работе бэкдор использует штатные серверный процессы и прослушивает их сетевой трафик. Бэкдор отслеживает появление в трафике маски :!;., при обнаружении которой декодирует следующий за ней блок данных. Данные зашифрованы шифром Blowfish и следуют в формате Base64.

Через закодированные блоки могут передаваться управляющие команды для выполнения произвольной shell-команды или инициирующие отправку собранных данных. Основной функцией бэкдора является перехват и накопление конфиденциальных данных, таких как пароли, ключи шифрования и e-mail. В частности, осуществляется перехват паролей и SSH-ключей пользователей, подключающихся к поражённой системе.

Подробности об атаке, в результате которой был установлен бэкдор, не сообщаются.

>>> Подробности

★★★★

Проверено: Shaman007 ()
Последнее исправление: JB (всего исправлений: 3)
Ответ на: комментарий от MATPOCKUH

Посмотрел и что? Вот вам пример. Есть apache и около 200 сайтов на нём. Сайты на php, режим работы mod_php (встроен в апач). Один из сайтов взломали, где-то там есть вредоносный скрипт, который запускает системный вызов bind и вешает прокси. Чем мне поможет ваш Systemtap? Скажет что bind выполняет apache? Ну и что? Как найти где в каком месте из 200 сайтов лежит говно? А никак!

anonymous
()
Ответ на: комментарий от MATPOCKUH
$ sudo aptitude install systemtap

Следующие НОВЫЕ пакеты будут установлены:        
  libdw1{a} systemtap systemtap-common{a} systemtap-runtime{a} 
0 пакетов обновлено, 4 установлено новых, 0 пакетов отмечено для удаления, и 4 пакетов не обновлено.
Необходимо получить 1 838 kБ архивов. После распаковки 5 977 kБ будет занято.
Хотите продолжить? [Y/n/?] y
Получено: 1 http://ru.archive.ubuntu.com/ubuntu/ raring/main libdw1 amd64 0.153-2ubuntu1 [201 kB]
Получено: 2 http://ru.archive.ubuntu.com/ubuntu/ raring/universe systemtap-runtime amd64 2.1-1~experimental1 [151 kB]
Получено: 3 http://ru.archive.ubuntu.com/ubuntu/ raring/universe systemtap-common all 2.1-1~experimental1 [545 kB]
Получено: 4 http://ru.archive.ubuntu.com/ubuntu/ raring/universe systemtap amd64 2.1-1~experimental1 [941 kB]
Получено 1 838 kБ в 0с (2 538 kБ/с)
Выбор ранее не выбранного пакета libdw1:amd64.
(Чтение базы данных … на данный момент установлено 254167 файлов и каталогов.)
Распаковывается пакет libdw1:amd64 (из файла …/libdw1_0.153-2ubuntu1_amd64.deb) …
Выбор ранее не выбранного пакета systemtap-runtime.
Распаковывается пакет systemtap-runtime (из файла …/systemtap-runtime_2.1-1~experimental1_amd64.deb) …
Выбор ранее не выбранного пакета systemtap-common.
Распаковывается пакет systemtap-common (из файла …/systemtap-common_2.1-1~experimental1_all.deb) …
Выбор ранее не выбранного пакета systemtap.
Распаковывается пакет systemtap (из файла …/systemtap_2.1-1~experimental1_amd64.deb) …
Обрабатываются триггеры для man-db …
Настраивается пакет libdw1:amd64 (0.153-2ubuntu1) …
Настраивается пакет systemtap-runtime (2.1-1~experimental1) …
Adding stapdev group...
Adding stapusr group...
Adding stapsys group...
Настраивается пакет systemtap-common (2.1-1~experimental1) …
Настраивается пакет systemtap (2.1-1~experimental1) …
Обрабатываются триггеры для libc-bin …
ldconfig deferred processing now taking place

$ man systemtap
Нет справочной страницы для systemtap

Хнык-хнык! ;(

noauto
()
Ответ на: комментарий от anonymous

Способ 1 (простой, в лоб):

1. Делаем модуль к апачу, аналогичный mod_env, но только позволяющий выставлять sysenv переменные.

2. В каждый vhost конфиг пишем что-то типа SetSEnv VHOSTID <vhostid>

3. Пишем systemtap скрипт, который ловит bind, смотрит в sysenv процесса апача и ищет VHOSTID

4. Если выставлен, то это уже скрипт работает с сокетами

5. ....

6. Профит

Способ 2 (сложный):

1. Читаем в доке на systemtap раздел про userspace probing

2. Пишем скрипт, который при ловле bind анализирует процесс апача, выясняет не пхп-ли, и путь до скрипта или еще какие подробности из внутренностей mod_php

3. ...

4. Профит

MATPOCKUH
()
Ответ на: комментарий от MATPOCKUH

А не проще просто ИМЕТЬ программу, которая запрещает все потенциально опасные действия? Все эти exec, bind и прочее. Да, апач тоже такие сисколы делает, но на конкретные порты или в конкретный путь - это разрешить. Вот я и возмущаюсь, что хакеры пишут такие вещи для целей взлома, а в комьюнити ещё никто не написал подобного для целей защиты. Да SELinux, да AppArmor но это всё ядро.

anonymous
()

Данные зашифрованы шифром Blowfish

Т.е. симметричный ключ захардкожен? А опубликовать, чтобы все пользовались?!

осуществляется перехват паролей и SSH-ключей пользователей, подключающихся к поражённой системе.

Интересно, а какие он ключи собрался перехватывать, если они машины клиента не покидают?

segfault ★★★★★
()
Ответ на: комментарий от anonymous

прав

а ещё это решето пытаются припихивать на десктопы
со всякими suid костылями как вяленд

anonymous
()

Сейчас придёт касперский и всех нас спасёт.

Unnamed_Hero ★★★
()

Решето !!!!

Ваще это жесть ! Линукс сплошь дырявый - выключу лучше все компы! Пойду лес рубить!

spigel
()
Ответ на: комментарий от anonymous

Вот я и возмущаюсь, что хакеры пишут такие вещи для целей взлома

А я вот возмущаюсь тому, что ты распространяешь бредни журнашлюшек, хакеры НЕ пишут такие вещи!

anonymous
()
Ответ на: комментарий от AX

Вопрос на засыпку: как данная малварь загрузит свою либу вместе с серверным процессом, если у неё не будет необходимых прав на это? Бэкдор - это ПО для удалённого управления поражённым компьютером. Источника проникновения подобного ПО на атакуемый узел, по сути, два. В новости написано, что подробности установки бэкдора не сообщаются. Вас это не смутило? Кто сказал, что злоумышленники заюзали эксплоит, получили рут-доступ, и закпрепившись в системе, установили бэкдор для повторного доступа к поражённой системе? Может, потому подробности заражения и скрывают, что админы просто опростоволосились? Попались на удочку хакера, заюзавшего метод социальной инженерии? Иначе чего им скрывать? Stil

lucentcode ★★★★★
()
Ответ на: комментарий от Stil

А где это вы специалиста увидели? Какое вообще отношение я имею к безопасности и системному администрированию? Я разве утверждал, что я что-то в этом смыслю?

Что касается моего комментария, то установка ПО из сомнительного источника - основной способ установки различной малвари на атакуемые машины. Именно на это я и хотел указать. Самое простое объяснение причины взлома обычно самое вероятное.

lucentcode ★★★★★
()
Последнее исправление: lucentcode (всего исправлений: 1)
Ответ на: комментарий от lucentcode

В новости написано, что подробности установки бэкдора не сообщаются. Вас это не смутило?

А что тут необычного? Может они сами ещё не нашли, или не успели закрыть уязвимость.

AX ★★★★★
()
Ответ на: комментарий от lucentcode

установка ПО из сомнительного источника - основной способ установки различной малвари на атакуемые машины

facepalm

AX ★★★★★
()
Ответ на: комментарий от lucentcode

Что касается моего комментария, то установка ПО из сомнительного источника - основной способ установки различной малвари на атакуемые машины. Именно на это я и хотел указать. Самое простое объяснение причины взлома обычно самое вероятное.

ага, вот про это и был мой комментарий «про специалиста».

как ты сам думаешь - много бородатых админов, которые работают с продакшн серверами, ставят на эти сервера ПО «из сомнительных источников»?

а если, вдруг, не ставят - как происходит заражение?

Stil ★★★★★
()
Ответ на: комментарий от Stil

Да мало ли причин может быть... Уязвимости в различном ПО, позволяющие атаковать систему, и так или иначе запустить произвольный код, уязвимости в скриптах веб-приложений и т.п. Если администратор баклан, и не уследил где-то за правами на доступ к тому или иному файлу, то даже не самая серьёзная уязвимость позволяет успешно закрепиться в атакованной системе. Если уязвимость была в коде, который выполнялся от имени пользователя с широким набором привилегий - то всё становится совсем печально. Ну и не будем забывать, что эксплуатируя определённые уязвимости, атакующий, уже работающий из-под непривилегированного пользователя может повысить свой уровень привилегий. Да что я вам говорю - вы же специалист. Это вы мне должны такие интересные истории на ночь рассказывать.

lucentcode ★★★★★
()
Последнее исправление: lucentcode (всего исправлений: 1)
Ответ на: комментарий от AX

Или админы у них не совсем компетентные. По любому спрашивать с админов надо. Если за системой следить, вовремя обновлять, настраивать, использовать патчи, закрывающие серьёзные уязвимости - такого фейспалма не случится...

lucentcode ★★★★★
()
Ответ на: комментарий от lucentcode

Если за системой следить, вовремя обновлять, настраивать, использовать патчи, закрывающие серьёзные уязвимости

Это всё прописные истины, известные любому школьнику, только от того же 0-day эксплоита они не спасут. На каждый хитрый замок всегда найдётся ещё более хитрая отмычка.

AX ★★★★★
()
Ответ на: прав от anonymous

со всякими suid костылями как вяленд

Эмм. weston может работать без рута. Вообще. Уже сейчас. А Xorg — суидный.

x3al ★★★★★
()
Ответ на: комментарий от anonymous

Да SELinux, да AppArmor но это всё ядро.

И? Что в этом плохого?

Кто будет писать твою гипотетическую юзерспейсную программу, если есть ядерные механизмы, которые делают всё и даже больше? И юзерспейсная реализация, имхо, будет гораздо медленнее.

запрещает все потенциально опасные действия

Ты неправильно понимаешь MAC. Суть его — разрешить только необходимый минимум действий для работы. Всё остальное — запрещено. В отличии от прав на файлы, которые тут рекламируют некоторые товарищи. Список того, что нужно конкретной программе, составить проще, чем список потенциально опасных действий.

x3al ★★★★★
()
Ответ на: комментарий от lucentcode

«Да мало ли причин может быть... Уязвимости в различном ПО, позволяющие атаковать систему, и так или иначе запустить произвольный код»

А как же мифическая неуязвимость Линукса и опенсоурса?

anonymous
()
Ответ на: комментарий от AX

Про 0-day никто и не говорит. От них нет адекватной защиты. Но очень часто для атаки используют довольно известные уязвимости. Просто потому, что на многих серверах очень старые, протухшие версии серверного ПО.

lucentcode ★★★★★
()
Ответ на: комментарий от anonymous

В мире не было, и никогда не будет ПО, которое немного сложнее «Привет Мир!», и при этом не имеет какой-то уязвимости. Линукс не неуязвим. Линукс, если его вовремя обновлять, и хорошо настраивать, очень надёжная ОС. Ну и вирусни под неё не особо много. Те, кто верит в неуязвимость какой-либо ОС - наивные школьники. Опенсорс более надёжен, чем большая часть проприетарного ПО. Потому, что уязвимости чаще находят(найти их легче, исходники то доступны для изучения), и чаше фиксят(опять же, потому, что исходники открыты, и любой может прислать патч, закрывающий уязвимость).

lucentcode ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.