È riportato su slasdot[¹] la scoperta di un nuovo malware (rootkit) che prende di mira sistemi GNU/Linux. Lo riporto qui poiché ad un primo impatto, almeno leggendo il titolo, può sembrare preoccupante.
Da quello che ho capito è basato su suterusu[¹], un rootkit pubblico disponibile su github che era stato sviluppato per Linux 2.6/3.x
Ulteriori dettagli sul sito di lacework[³].
Da quello che ho capito:
* non si sa come il malware penetri nel sistema operativo
* crea il file /proc/.inl o /tmp/.tmp_XXXXXX
* sostituisce eseguibili di sistema: kill, scp, ssh, ...
* quando un utente esegue "sudo kill" o simile carica un modulo in Linux e
si "impadronisce" del sistema
a me sembra assurdo, se non paradossale.
Per scrivere in /proc devi essere root, lo stesso se vuoi sostituire un comando come /bin/kill. Ma se sei già root per poter fare queste azioni perché devi attendere che l'utente esegui tali comandi come root per poterti impadronire del sistema?
Ciao
Davide
[¹] https://linux.slashdot.org/story/21/10/10/000240/new-fontonlake-malware-family-can-target-linux-systems?utm_source=feedburner&utm_medium=feed&utm_campaign=Feed%3A+Slashdot%2Fslashdot+%28Slashdot%29
[²]
https://github.com/mncoppola/suterusu
[³]
https://www.lacework.com/blog/hcrootkit-sutersu-linux-rootkit-analysis/
--
Browser: http://www.mozilla.org/products/firefox
GNU/Linux User: 302090: http://counter.li.org
Non autorizzo la memorizzazione del mio indirizzo su outlook
On Mon, Oct 11, 2021 at 08:40:46PM +0200, Davide Prina wrote:
È riportato su slasdot[¹] la scoperta di un nuovo malware (rootkit) che
prende di mira sistemi GNU/Linux. Lo riporto qui poiché ad un primo impatto,
almeno leggendo il titolo, può sembrare preoccupante.
[¹]
https://linux.slashdot.org/story/21/10/10/000240/new-fontonlake-malware-family-can-target-linux-systems?utm_source=feedburner&utm_medium=feed&utm_campaign=Feed%3A+Slashdot%2Fslashdot+%28Slashdot%29
Di rootkit ce ne sono a bizzeffe.
Non capisco bene qual'è la novità...
No i rootkit sono rootkit, non puoi neutralizzarli, stai facendo
confusione con i virus. Puoi pensare ad un rootkit come ad una specie di driver che una volta installato "abilita" certe funzionalità. Non mi pare che si possa "neutralizzare" un rootkit come non si può "neutralizzare"
un driver, in special modo se viene compilato per una specifica versione
o insieme di versioni del kernel.
On 11/10/21 21:48, Marco Ciampa wrote:
On Mon, Oct 11, 2021 at 08:40:46PM +0200, Davide Prina wrote:
È riportato su slasdot[¹] la scoperta di un nuovo malware (rootkit) che prende di mira sistemi GNU/Linux. Lo riporto qui poiché ad un primo impatto,
almeno leggendo il titolo, può sembrare preoccupante.
[¹] https://linux.slashdot.org/story/21/10/10/000240/new-fontonlake-malware-family-can-target-linux-systems?utm_source=feedburner&utm_medium=feed&utm_campaign=Feed%3A+Slashdot%2Fslashdot+%28Slashdot%29
Di rootkit ce ne sono a bizzeffe.
ma sono tutti neutralizzati da un sistema aggiornato e da un adeguato uso
del sistema.
Non capisco bene qual'è la novità...
la novità è indicare un qualcosa che non si sa come entri nel sistema e dare
la sensazione che una volta entrato come utente non privilegiato possa prendere prima o poi l'accesso come root... quindi può generare insicurezza negli utenti
La mia segnalazione serviva a tranquillizzare se qualcuno leggeva qualcosa e si preoccupava
On Tue, Oct 12, 2021 at 07:48:07PM +0200, Davide Prina wrote:
On 11/10/21 21:48, Marco Ciampa wrote:
Di rootkit ce ne sono a bizzeffe.
ma sono tutti neutralizzati da un sistema aggiornato e da un adeguato uso
del sistema.
No i rootkit sono rootkit, non puoi neutralizzarli, stai facendo
confusione con i virus.
Sysop: | Keyop |
---|---|
Location: | Huddersfield, West Yorkshire, UK |
Users: | 293 |
Nodes: | 16 (2 / 14) |
Uptime: | 238:28:11 |
Calls: | 6,624 |
Files: | 12,172 |
Messages: | 5,319,939 |