1. Forum
  2. Usenet
  3. LINUX.DEBIAN.USER.ITALIAN

  • Nuovo malware per GNU/Linux (sembra una bufala!)

    From Davide Prina@21:1/5 to All on Mon Oct 11 20:50:01 2021
    È riportato su slasdot[¹] la scoperta di un nuovo malware (rootkit) che prende di mira sistemi GNU/Linux. Lo riporto qui poiché ad un primo
    impatto, almeno leggendo il titolo, può sembrare preoccupante.

    Da quello che ho capito è basato su suterusu[¹], un rootkit pubblico disponibile su github che era stato sviluppato per Linux 2.6/3.x

    Ulteriori dettagli sul sito di lacework[³].

    Da quello che ho capito:
    * non si sa come il malware penetri nel sistema operativo
    * crea il file /proc/.inl o /tmp/.tmp_XXXXXX
    * sostituisce eseguibili di sistema: kill, scp, ssh, ...
    * quando un utente esegue "sudo kill" o simile carica un modulo in Linux
    e si "impadronisce" del sistema

    a me sembra assurdo, se non paradossale.

    Per scrivere in /proc devi essere root, lo stesso se vuoi sostituire un comando come /bin/kill. Ma se sei già root per poter fare queste azioni perché devi attendere che l'utente esegui tali comandi come root per
    poterti impadronire del sistema?

    Ciao
    Davide

    [¹] https://linux.slashdot.org/story/21/10/10/000240/new-fontonlake-malware-family-can-target-linux-systems?utm_source=feedburner&utm_medium=feed&utm_campaign=Feed%3A+Slashdot%2Fslashdot+%28Slashdot%29

    [²]
    https://github.com/mncoppola/suterusu

    [³]
    https://www.lacework.com/blog/hcrootkit-sutersu-linux-rootkit-analysis/

    --
    Browser: http://www.mozilla.org/products/firefox
    GNU/Linux User: 302090: http://counter.li.org
    Non autorizzo la memorizzazione del mio indirizzo su outlook

    --- SoupGate-Win32 v1.05
    * Origin: fsxNet Usenet Gateway (21:1/5)
  • From Marco Ciampa@21:1/5 to Davide Prina on Mon Oct 11 21:50:03 2021
    On Mon, Oct 11, 2021 at 08:40:46PM +0200, Davide Prina wrote:
    È riportato su slasdot[¹] la scoperta di un nuovo malware (rootkit) che prende di mira sistemi GNU/Linux. Lo riporto qui poiché ad un primo impatto, almeno leggendo il titolo, può sembrare preoccupante.

    Da quello che ho capito è basato su suterusu[¹], un rootkit pubblico disponibile su github che era stato sviluppato per Linux 2.6/3.x

    Ulteriori dettagli sul sito di lacework[³].

    Da quello che ho capito:
    * non si sa come il malware penetri nel sistema operativo
    * crea il file /proc/.inl o /tmp/.tmp_XXXXXX
    * sostituisce eseguibili di sistema: kill, scp, ssh, ...
    * quando un utente esegue "sudo kill" o simile carica un modulo in Linux e
    si "impadronisce" del sistema

    a me sembra assurdo, se non paradossale.

    Per scrivere in /proc devi essere root, lo stesso se vuoi sostituire un comando come /bin/kill. Ma se sei già root per poter fare queste azioni perché devi attendere che l'utente esegui tali comandi come root per poterti impadronire del sistema?

    Ciao
    Davide

    [¹] https://linux.slashdot.org/story/21/10/10/000240/new-fontonlake-malware-family-can-target-linux-systems?utm_source=feedburner&utm_medium=feed&utm_campaign=Feed%3A+Slashdot%2Fslashdot+%28Slashdot%29

    [²]
    https://github.com/mncoppola/suterusu

    [³]
    https://www.lacework.com/blog/hcrootkit-sutersu-linux-rootkit-analysis/

    --
    Browser: http://www.mozilla.org/products/firefox
    GNU/Linux User: 302090: http://counter.li.org
    Non autorizzo la memorizzazione del mio indirizzo su outlook


    Di rootkit ce ne sono a bizzeffe. Non capisco bene qual'è la novità...

    --

    Saluton,
    Marco Ciampa

    --- SoupGate-Win32 v1.05
    * Origin: fsxNet Usenet Gateway (21:1/5)
  • From Davide Prina@21:1/5 to Marco Ciampa on Tue Oct 12 19:50:02 2021
    On 11/10/21 21:48, Marco Ciampa wrote:
    On Mon, Oct 11, 2021 at 08:40:46PM +0200, Davide Prina wrote:
    È riportato su slasdot[¹] la scoperta di un nuovo malware (rootkit) che
    prende di mira sistemi GNU/Linux. Lo riporto qui poiché ad un primo impatto,
    almeno leggendo il titolo, può sembrare preoccupante.

    [¹]
    https://linux.slashdot.org/story/21/10/10/000240/new-fontonlake-malware-family-can-target-linux-systems?utm_source=feedburner&utm_medium=feed&utm_campaign=Feed%3A+Slashdot%2Fslashdot+%28Slashdot%29

    Di rootkit ce ne sono a bizzeffe.

    ma sono tutti neutralizzati da un sistema aggiornato e da un adeguato
    uso del sistema.

    Non capisco bene qual'è la novità...

    la novità è indicare un qualcosa che non si sa come entri nel sistema e
    dare la sensazione che una volta entrato come utente non privilegiato
    possa prendere prima o poi l'accesso come root... quindi può generare insicurezza negli utenti

    La mia segnalazione serviva a tranquillizzare se qualcuno leggeva
    qualcosa e si preoccupava

    Ciao
    Davide

    --
    Browser: http://www.mozilla.org/products/firefox
    GNU/Linux User: 302090: http://counter.li.org
    Non autorizzo la memorizzazione del mio indirizzo su outlook

    --- SoupGate-Win32 v1.05
    * Origin: fsxNet Usenet Gateway (21:1/5)
  • From Mario Vittorio Guenzi@21:1/5 to All on Wed Oct 13 08:10:02 2021
    This is an OpenPGP/MIME signed message (RFC 4880 and 3156) --OcrWz7krLYj8LBqTjZ4kRAaholhFohMOj
    Content-Type: text/plain; charset=utf-8
    Content-Language: it
    Content-Transfer-Encoding: quoted-printable



    Il 13/10/21 07:49, Marco Ciampa ha scritto:

    No i rootkit sono rootkit, non puoi neutralizzarli, stai facendo
    confusione con i virus. Puoi pensare ad un rootkit come ad una specie di driver che una volta installato "abilita" certe funzionalità. Non mi pare che si possa "neutralizzare" un rootkit come non si può "neutralizzare"
    un driver, in special modo se viene compilato per una specifica versione
    o insieme di versioni del kernel.

    Ni, li puoi individuare e rimuovere, non automaticamente questo si ma i
    tool per indagine in tal senso ci sono, poi a seconda della situazione
    agisci.


    --

    Mario Vittorio Guenzi
    E-mail jclark@tiscali.it
    Si vis pacem, para bellum


    --OcrWz7krLYj8LBqTjZ4kRAaholhFohMOj--

    -----BEGIN PGP SIGNATURE-----

    wmMEABEIACMWIQTq04Bmf6EVqIWOKVubqqzVmQ2sigUCYWZ0pgUDAAAAAAAKCRCbqqzVmQ2sivPt AJ4qOS9YcYfdYyPmiXBS6SRpkEnfiQCeMX+WQ+7bgxjb+lUf7Yak3jT7dn8=
    =O0MX
    -----END PGP SIGNATURE-----

    --- SoupGate-Win32 v1.05
    * Origin: fsxNet Usenet Gateway (21:1/5)
  • From Marco Ciampa@21:1/5 to Davide Prina on Wed Oct 13 07:50:01 2021
    On Tue, Oct 12, 2021 at 07:48:07PM +0200, Davide Prina wrote:
    On 11/10/21 21:48, Marco Ciampa wrote:
    On Mon, Oct 11, 2021 at 08:40:46PM +0200, Davide Prina wrote:
    È riportato su slasdot[¹] la scoperta di un nuovo malware (rootkit) che prende di mira sistemi GNU/Linux. Lo riporto qui poiché ad un primo impatto,
    almeno leggendo il titolo, può sembrare preoccupante.

    [¹] https://linux.slashdot.org/story/21/10/10/000240/new-fontonlake-malware-family-can-target-linux-systems?utm_source=feedburner&utm_medium=feed&utm_campaign=Feed%3A+Slashdot%2Fslashdot+%28Slashdot%29

    Di rootkit ce ne sono a bizzeffe.

    ma sono tutti neutralizzati da un sistema aggiornato e da un adeguato uso
    del sistema.

    No i rootkit sono rootkit, non puoi neutralizzarli, stai facendo
    confusione con i virus. Puoi pensare ad un rootkit come ad una specie di
    driver che una volta installato "abilita" certe funzionalità. Non mi pare
    che si possa "neutralizzare" un rootkit come non si può "neutralizzare"
    un driver, in special modo se viene compilato per una specifica versione
    o insieme di versioni del kernel.

    Non capisco bene qual'è la novità...

    la novità è indicare un qualcosa che non si sa come entri nel sistema e dare
    la sensazione che una volta entrato come utente non privilegiato possa prendere prima o poi l'accesso come root... quindi può generare insicurezza negli utenti

    Sono completamente daccordo. Infatti era una domanda retorica per dire
    "roba vecchia ... senzionalismo da 4 soldi..."

    La mia segnalazione serviva a tranquillizzare se qualcuno leggeva qualcosa e si preoccupava

    Capito.

    --

    Saluton,
    Marco Ciampa

    --- SoupGate-Win32 v1.05
    * Origin: fsxNet Usenet Gateway (21:1/5)
  • From Davide Prina@21:1/5 to Marco Ciampa on Wed Oct 13 20:40:01 2021
    On 13/10/21 07:49, Marco Ciampa wrote:
    On Tue, Oct 12, 2021 at 07:48:07PM +0200, Davide Prina wrote:
    On 11/10/21 21:48, Marco Ciampa wrote:

    Di rootkit ce ne sono a bizzeffe.

    ma sono tutti neutralizzati da un sistema aggiornato e da un adeguato uso
    del sistema.

    No i rootkit sono rootkit, non puoi neutralizzarli, stai facendo
    confusione con i virus.

    per potersi installare nella tua macchina un rootkit ha bisogno che tu
    abbia un software con bug, che permetta all'attaccante reale/virtuale di scalare fino a root, o che tu compia azioni non adeguate (es: installare
    come root software preso in giro, eseguire come root software preso in
    giro, ...)

    Quindi se tu hai il sistema costantemente aggiornato e fai un uso
    adeguato del sistema, allora li hai neutralizzati, nel senso che non
    possono infettare il tuo sistema... o per la meno la maggior parte di
    essi non può, poi può esserci sempre un bug non conosciuto usato dall'attaccante per entrare nel tuo PC e per scalare a root.

    Probabilmente è per questi motivi che in GNU/Linux il malware in
    generale ha poca diffusione e dove l'ha è perché i sistemi non sono aggiornati o il comportamento degli utenti non è adeguato.

    Ciao
    Davide
    --
    Elenco di software libero: http://tinyurl.com/eddgj
    GNU/Linux User: 302090: http://counter.li.org
    Non autorizzo la memorizzazione del mio indirizzo su outlook

    --- SoupGate-Win32 v1.05
    * Origin: fsxNet Usenet Gateway (21:1/5)