Вирусные новости для Linux

Аватара пользователя
Nickolas
Сообщения: 276
Зарегистрирован: 14 сен 2016, 02:44
Решено: 3
Благодарил (а): 97 раз
Поблагодарили: 100 раз

Вирусные новости для Linux

Сообщение Nickolas » 29 май 2017, 15:39

«Доктор Веб» исследовал многокомпонентного троянца для Linux
25 мая 2017 года

Вредоносные программы для операционных систем семейства Linux не столь распространены по сравнению с Windows-троянцами. Тем не менее они представляют серьезную угрозу для пользователей. Специалисты «Доктор Веб» исследовали сложного многокомпонентного троянца, способного заражать устройства под управлением Linux с различной аппаратной архитектурой.

Первые атаки с применением троянца, вошедшего в семейство Linux.LuaBot, специалисты «Доктор Веб» фиксировали еще в декабре 2016 года. Все представители семейства написаны на скриптовом языке Lua. Троянец непрерывно эволюционирует с ноября 2016 года, и новые версии Linux.LuaBot появляются с завидной регулярностью. Вредоносная программа Linux.LuaBot представляет собой набор из 31 Lua-сценария и двух дополнительных модулей, каждый из которых выполняет собственную функцию. Троянец способен заражать устройства с архитектурами Intel x86 (и Intel x86_64), MIPS, MIPSEL, Power PC, ARM, SPARC, SH4, M68k – иными словами, не только компьютеры, но и широчайший ассортимент роутеров, телевизионных приставок, сетевых хранилищ, IP-камер и других «умных» девайсов. При этом специалистам «Доктор Веб» не удалось обнаружить в «дикой природе» сборки троянца для архитектуры SPARC: заражающий устройства инфектор троянца умеет определять эту архитектуру, но реально существующих модулей для нее не выявлено.

Все входящие в состав Linux.LuaBot сценарии взаимосвязаны. Троянец генерирует список IP-адресов, которые будет атаковать, а затем пытается соединиться с удаленными устройствами по созданному списку и авторизоваться путем перебора логинов и паролей по словарю. Скрипты, с использованием которых осуществляется взлом сетевых узлов, умеют определять архитектуру атакуемого устройства и, кроме того, имеют специальный механизм для детектирования «ханипотов» (от англ. honeypot, «горшочек с медом») — серверов, играющих роль приманки для злоумышленников. С помощью «ханипотов» специалисты по информационной безопасности изучают методики атак и инструментарий злоумышленников. При этом атаки выполняются как по протоколу Telnet, так и посредством SSH — за работу с каждым из этих протоколов отвечает отдельный Lua-сценарий. Если получить доступ к устройству удалось, вредоносный скрипт устанавливает на него троянца Linux.LuaBot соответствующей архитектуры. В процессе атаки по протоколу Telnet на скомпрометированный узел сначала загружается небольшой модуль, который, запустившись, скачивает самого троянца, при атаке по протоколу SSH троянец загружается сразу.

Один из модулей Linux.LuaBot представляет собой полноценный веб-сервер, работающий по протоколу HTTP. Сервер может сохранить на инфицированном устройстве и выполнить приложение, передать по запросу файл из своей директории и сообщать информацию о версии троянца. Отметим, что в майской версии Linux.LuaBot злоумышленники убрали функцию передачи данных о зараженном устройстве.

Linux.LuaBot общается с управляющим сервером по протоколу HTTP, при этом вся передаваемая информация шифруется. Для поиска свежих конфигурационных файлов и модулей используется сеть P2P на основе протокола Bittorent DHT, такого же, который задействован в обычных торрент-сетях. За эту функцию отвечает еще один скрипт. При этом принимаемые и передаваемые сообщения проверяются на подлинность с помощью цифровой подписи. Если P2P-сеть недоступна, отдельный сценарий выполняет обновление Linux.LuaBot с помощью других зараженных узлов, закачивая свои файлы на скомпрометированные устройства по специальному запросу. Этот сценарий присутствовал только в ранних версиях троянца.

Опасность Linux.LuaBot для владельцев Linux-устройств заключается в том, что этот троянец фактически является бэкдором, то есть способен выполнять поступающие от злоумышленников команды. Кроме того, ранние версии этой вредоносной программы запускали на скомпрометированном устройстве прокси-сервер, который злоумышленники использовали для анонимизации своих действий в Интернете.

Вирусные аналитики «Доктор Веб» собрали статистику об уникальных IP-адресах устройств, зараженных Linux.LuaBot. Географическое распределение этих адресов показано на следующей иллюстрации.

Изображение

Специалистам «Доктор Веб» известно несколько модификаций Linux.LuaBot, отличающихся набором функций и архитектурными особенностями. Антивирус Dr.Web детектирует все существующие на сегодняшний день образцы Linux.LuaBot.

Linux.LuaBot в вирусной библиотеке:

Семейство вредоносных программ для ОС Linux. Троянцы семейства Linux.LuaBot представляют собой модифицированный интерпретатор языка Lua, в котором зашит вредоносный lua-сценарий. Этот сценарий устанавливает соединение с управляющим сервером, получает от него другие сценарии на языке lua и выполняет их. Загруженные на зараженное устройство сценарии могут выполнять различные функции: например, реализовывать атаки на отказ в обслуживании (DDoS-атаки) или устанавливать в систему другое вредоносное ПО.
Изображение
Официальный форум Linux Mint Russian - https://forums.linuxmint.com/viewforum.php?f=75
Linux Mint 18.2 XFCE 64bit (Kernel 4.10.0)
Пингвин птица гордая - не полетит, пока не пнёшь.

Аватара пользователя
Chocobo
Сообщения: 4643
Зарегистрирован: 27 авг 2016, 19:57
Решено: 113
Откуда: НН
Благодарил (а): 376 раз
Поблагодарили: 1244 раза

Вирусные новости для Linux

Сообщение Chocobo » 29 май 2017, 16:03

Nickolas писал(а):Источник цитаты При этом атаки выполняются как по протоколу Telnet, так и посредством SSH

то есть надо светить на внешку дефолтный 22 или 23 порт, с разрешением привилегированного доступа и надеяться что пароль им удастся сбрутфорсить :crazy: Ужас прям, гроза всех юниксов данный вирь

Что ж, антивирусы опять можно не ставить. ибо такой сценарий возможен только руками самого пользователя.

Nickolas писал(а):Источник цитаты При этом специалистам «Доктор Веб» не удалось обнаружить в «дикой природе» сборки троянца для архитектуры SPARC

хех, эльбрусами повеяло сразу :-D На спарках разве какие-то особенные протоколы телнета или ссш, что к ним не применим сей метод?
Изображение

Аватара пользователя
di_mok
Сообщения: 1849
Зарегистрирован: 27 авг 2016, 16:06
Решено: 15
Откуда: Арзамас
Благодарил (а): 530 раз
Поблагодарили: 303 раза

Вирусные новости для Linux

Сообщение di_mok » 29 май 2017, 16:27

Chocobo писал(а):Источник цитаты то есть надо светить на внешку дефолтный 22 или 23 порт, с разрешением привилегированного доступа

Зря смеёшься, я очень близко знаю такого человека :-D
Настоящая водка — это не пьянство, а ключ к своей совести, с нее-то и начинается настоящая мудрость. (c)

Аватара пользователя
Chocobo
Сообщения: 4643
Зарегистрирован: 27 авг 2016, 19:57
Решено: 113
Откуда: НН
Благодарил (а): 376 раз
Поблагодарили: 1244 раза

Вирусные новости для Linux

Сообщение Chocobo » 29 май 2017, 16:38

di_mok, просто "новый ужасный вирус" пытается попасть в систему также как 20 лет назад, глупым брутфорсом.
желающим уроки контрацепции от подобного "зловреда" - пишите, разберем по пунктам :smile:
Изображение

Аватара пользователя
SemenSinchenko
Сообщения: 314
Зарегистрирован: 17 фев 2017, 09:01
Решено: 2
Откуда: Москва
Благодарил (а): 40 раз
Поблагодарили: 40 раз

Вирусные новости для Linux

Сообщение SemenSinchenko » 29 май 2017, 16:39

Chocobo писал(а):Источник цитаты Что ж, антивирусы опять можно не ставить.

Так антивирусы всегда ставились для проверки почты, которая отправляется виндусюзерам, а не для защиты своей машины...

Unborn
Сообщения: 640
Зарегистрирован: 03 сен 2016, 10:36
Решено: 14
Благодарил (а): 2 раза
Поблагодарили: 93 раза

Вирусные новости для Linux

Сообщение Unborn » 29 май 2017, 16:59

А то, что сам антивирус тот ещё конь в законе - тишина. Всё как обычно. В Винде шорох, надо и линупсоидов попугать.

Аватара пользователя
Chocobo
Сообщения: 4643
Зарегистрирован: 27 авг 2016, 19:57
Решено: 113
Откуда: НН
Благодарил (а): 376 раз
Поблагодарили: 1244 раза

Вирусные новости для Linux

Сообщение Chocobo » 29 май 2017, 17:05

SemenSinchenko, может в случае корпоративного почтового сервера, и вряд ли как-то иначе)
Изображение

Дмитрий
Сообщения: 46
Зарегистрирован: 02 дек 2016, 13:42
Откуда: Россия
Благодарил (а): 4 раза
Поблагодарили: 6 раз

Вирусные новости для Linux

Сообщение Дмитрий » 29 май 2017, 17:17

Я что то не так понял..., или действительно компания ДРВеб провела маркетинговые исследования и приняла решение об экономической целесообразности разработки вирусов под платформу Линукс с целью продвижения своих антивирусных продуктов?

Аватара пользователя
Chocobo
Сообщения: 4643
Зарегистрирован: 27 авг 2016, 19:57
Решено: 113
Откуда: НН
Благодарил (а): 376 раз
Поблагодарили: 1244 раза

Вирусные новости для Linux

Сообщение Chocobo » 29 май 2017, 17:21

Дмитрий, Им бы и в радость, наверное, только вот сказать по теме толком нечего, как обычно. :smile:

Уязвимости конечно могут быть в теории использованы, но и тут антивирусы как правило бессильны.
А для удаленной эксплуатации уязвимостей - нужно к ней достучаться по сети, что снижает шансы на успех еще этак процентов на N-цать
Изображение

Аватара пользователя
kobolt
Сообщения: 247
Зарегистрирован: 27 авг 2016, 18:53
Решено: 5
Откуда: Чебоксары
Благодарил (а): 29 раз
Поблагодарили: 79 раз

Вирусные новости для Linux

Сообщение kobolt » 30 май 2017, 05:24

Chocobo писал(а):Источник цитаты желающим уроки контрацепции от подобного "зловреда" - пишите, разберем по пунктам

есть желающий. далек от всего этого, но интересно =)
Изображение

Дмитрий
Сообщения: 46
Зарегистрирован: 02 дек 2016, 13:42
Откуда: Россия
Благодарил (а): 4 раза
Поблагодарили: 6 раз

Вирусные новости для Linux

Сообщение Дмитрий » 30 май 2017, 09:43

Chocobo писал(а):Источник цитаты Дмитрий, Им бы и в радость, наверное, только вот сказать по теме толком нечего, как обычно. :smile:

Уязвимости конечно могут быть в теории использованы, но и тут антивирусы как правило бессильны.
А для удаленной эксплуатации уязвимостей - нужно к ней достучаться по сети, что снижает шансы на успех еще этак процентов на N-цать


Дак я ж не об успехе разработки виросов под Линух, а о признании, ну или как минимум экономическом интересе к платформе Линух... то биш мы ширимся и размножаемся (не поймите меня превратно)..., а это как ни посмотри новости хорошие :thumbs:

Аватара пользователя
Spartex
Сообщения: 15
Зарегистрирован: 30 окт 2016, 23:01
Благодарил (а): 10 раз
Поблагодарили: 6 раз

Вирусные новости для Linux

Сообщение Spartex » 30 май 2017, 12:42

kobolt писал(а):Источник цитаты
Chocobo писал(а):Источник цитаты желающим уроки контрацепции от подобного "зловреда" - пишите, разберем по пунктам

есть желающий. далек от всего этого, но интересно =)

Поддерживаю. Тоже хотелось бы узнать что-то новое.

В сети
Аватара пользователя
symon2014
Сообщения: 1532
Зарегистрирован: 29 авг 2016, 02:17
Решено: 18
Откуда: Феодосия
Благодарил (а): 46 раз
Поблагодарили: 410 раз

Вирусные новости для Linux

Сообщение symon2014 » 30 май 2017, 18:36

banner.lua

Сценарий содержит следующий текст:

ВСЁ ИДЁТ ПО ПЛАНУ
А при коммунизме всё будет за**ись
Он наступит скоро — надо только подождать
Там всё будет бесплатно,там всё будет в кайф
Там наверное вощще не надо будет (умирать)
Я проснулся среди ночи и понял, что -
ВСЁ ИДЁТ ПО ПЛАНУ
:rofl:
https://vms.drweb.ru/virus/?_is=2&i=15330283
:sry:
Debian (8.8) , LMDE2 , LM 18.2 Mate .

Аватара пользователя
Chocobo
Сообщения: 4643
Зарегистрирован: 27 авг 2016, 19:57
Решено: 113
Откуда: НН
Благодарил (а): 376 раз
Поблагодарили: 1244 раза

Вирусные новости для Linux

Сообщение Chocobo » 31 май 2017, 08:02

kobolt, Spartex, все довольно просто, если глубоко не вникать в ИБ. Начнем с того что ssh и telnet сервера у нас в минте искаропки нет. И установить их можно только самостоятельно. Первый вывод, что минт в базовой поставке неуязвим к этой атаке. :smile:
Далее.
  • Светить на внешку telnet порт, по моему опыту вообще никогда нет нужды. Прям не могу придумать юзкейс.
  • Если нужен ssh - достаточно:
    1. сменить стандартный 22-й порт на что нибудь подальше в диапазоне до 65535 (директива Port в /etc/ssh/sshd_config)
    2. Стойкий к перебору пароль с высокой энтропией, или вовсе отказ от них в пользу авторизации по ключам . Второй вариант сразу 100% защита от любого брутфорса.
    3. Если клиентское подключение за статикой, или хотя бы в известной подсети - разрешить доступ только с определенных IP или их диапазона.
Плюс были помню какие-то скрипты чуть упрощающие жизнь, которые автоматом добавляют адреса в черный список после неудачной попытки авторизации. Тоже довольно действенный метод

Ну и тем кто сидит за маршрутизатором (роутером) и не крутил настройки DMZ и проброса портов - также нестрашно, ибо ни вирь снаружи не долезет за NAT, ни поднять оттуда бэкдоры наружу у него не получится. Плюс всегда можно запустить и какой-нибудь параноидальный файрволл, которому явно разрешать только то что нам действительно нужно.
В Suse вроде такой режим сетевого экрана запилен искаропки

Если вкратце, то как-то вот так :smile:
Изображение

Аватара пользователя
Dja
Сообщения: 2004
Зарегистрирован: 27 авг 2016, 17:03
Решено: 11
Откуда: Воскресенск
Благодарил (а): 303 раза
Поблагодарили: 222 раза

Вирусные новости для Linux

Сообщение Dja » 14 июн 2017, 10:14

SemenSinchenko писал(а):Источник цитаты Так антивирусы всегда ставились для проверки почты, которая отправляется виндусюзерам, а не для защиты своей машины...

вот у меня к вам вопрос. Зачем тогда виндо-юзерам нужны антивирусы если им все будут слать почту уже проверенной? Т,е. не то чтобы они тогда и в интернет ходить не будут... просто непонятно зачем проверять то, что проверяется виндо-пространством по приходу. у него ж поди там аваст какой-нить, каспер или еще кто.
Новичок? - ознакомься с правилами
Изображение
В поисках истины :grabli:
Изображение

Аватара пользователя
SemenSinchenko
Сообщения: 314
Зарегистрирован: 17 фев 2017, 09:01
Решено: 2
Откуда: Москва
Благодарил (а): 40 раз
Поблагодарили: 40 раз

Вирусные новости для Linux

Сообщение SemenSinchenko » 14 июн 2017, 11:02

Dja, Тут неплохо расписано о том, что, например, ClamAV является лишь первым звеном антивирусной защиты:
А вот если учесть, что основное использование ClamAV - шлюзы и это первый рубеж антивирусной защиты инфраструктуры, то результат весьма и весьма неплох, с учетом возможности сканирования трафика (и не только почтового) на лету. Действительно, 50% вирусов отсеянные на первом этапе - это в разы меньшее количество вирусных инцидентов в вашей сети.


Мало ли что там у виндоюзера... Может он свой аваст не обновил.
Есть еще такая фишка, что антивирусы не ловят 100% вирусов, тогда отсеяв половину на первом рубеже защиты, еще перед отправкой мы существенно повышаем защищенность.
Аналогично с флешками и прочим хламом - если компьютер пользователя заражен чем-нибудь, что ворует пароли от WebMoney, а в остальном сидит тихо, то пользователь может искренне считать что все нормально (обычно значок аваста в таких случаях крутится, но сам аваст не работает, я такое видел как-то). Найдя в почте/флешке от него виндовский троян вы спасете ему много нервов.
Много в общем-то причин.

При этом я не знаю ни одной причины, почему бы тот же ClamAV не поставить... Ибо он под лицензий GNU и он почти не грузит систему (те же кедо-виджеты больше ресурсов жрут).


Вернуться в «Другие новости»

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и 0 гостей