Új, HTTP iframe-et injektáló Linux rootkit bukkant fel

 ( trey | 2012. november 21., szerda - 12:53 )

A hírek szerint egy új, 64 bites Linux rendszerekhez készült rootkit bukkant fel. 2012. november 13-án küldte be egy névtelen áldozat az FD levelezési listára. A cuccot egy olyan webszerver szerepkörben üzemelő gépen fedezték fel, amelyen a webszerver szoftver ismeretlen iframe-et adott hozzá az általa kiküldött HTTP válaszokhoz. Az áldozat egy kernelmodult fedezett fel, amelyet csatolt az FD listára küldött leveléhez abban a reményben, hogy arról a szakértőktől valamiféle információt kap. Eddig senki sem válaszolt a levelére.

A CrowdStrike viszont készített egy elemzést a rosszindulatú szoftverről. Ez elolvasható itt. Ezzel párhuzamosan a Kaspersky is infókat tett közzé a cuccról.

Hozzászólás megjelenítési lehetőségek

A választott hozzászólás megjelenítési mód a „Beállítás” gombbal rögzíthető.

Nem ujkeletu dolog ez. 4-5 evvel ezelotti eset jut eszembe, mikor egy "mezei" szolgaltato GW-jet fertoztek meg es az osszes kliens aki rendelkezett valami fele virusvedelemmel hirtelen "bevirusozodott". Az egesz azzal kezdodott, hogy szolt egy ismeros, hogy az a "virusirto bigyo" folyamatosan jelzi, hogy virusos a gepe. Nekiestem de nem talaltam nyomat egy virusnak sem, igy hazakuldtem gepestol, de amire "szamitani lehetett" otthon ujra jelzett, igy helyszinre mentem es kis kutatokad utan sikerult lokalizalni a problema forrasat. A nagyobb oldalakat leszamitva (google, yahoo,...) minden lekeres valaszanak legelejen erkezett egy JS ami iframe-eket kezdett iframe-kbe betolteni (rekurzivan) es a legvegen yahoo-s ad-eket click-elgetett.

Annak ellenére, amennyire le van fikázva az elemzésben, úgy tűnik, mégsem annyira sz*r.

Az elgondolás nem rossz, a kivitelezés szörnyű. Az elemzés alapján kb véletlen, hogy egyáltalán működik...

"...handing C++ to the average programmer seems roughly comparable to handing a loaded .45 to a chimpanzee." -- Ted Ts'o

Fejlődik ez még...

Jól értem, csak a konrét 2.6.32-5 (pl. Debian Squeeze) kernel verzió esetén aktiválódik ?

Ha igen, még egy ok, hogy az első dolgunk legyen saját kernelt feltenni... (esetleg a verziót is átírni benne valami sajátra.)

hogy jön ez most ide? nem hiszem hogy ez a legjobb ellenszer erre...

csak egy kérdés, hány szervered van? és ha ki jön egy bizt. kernel patch(hogy értesülsz róla) mennyi idő alatt pakolod ezt fel?
azért lényegesen jobban kartbantarható egy szerver csomag listából. persze nyilván mindennek van előnye és hátránya(ami itt ki is jött)

Először is, nincs gépparkom. Akkor valóban lennének más szempontok is.
Ugyanakkor, ami kincstári kernel verzió, azt jó eséllyel megcélozzák a hasonló huncutságok. (Gondolom, erre gondoltál a hátrányoknál.)

Magam részéről inkább vállalom a rootkit kockázatát, mintsem a kiteszteletlenségből adódó potenciális kiesést és egyéb problémákat és a plusz pepecselést ezzel.

----------------
Lvl86 Troll, "hobbifejlesztő" - Think Wishfully™

Azért a nevezett kernel - ha jól látom - nem mai gyerek, ennyi idő alatt lett volna mondjuk alkalom másik kernelt tesztelni...

-------------------------
Trust is a weakness...

És ezt játszuk el minden egyes új kernelverziónál 3 havonta + minden egyes patchnál?

----------------
Lvl86 Troll, "hobbifejlesztő" - Think Wishfully™

Ilyet senki nem mondott, ahhoz túl gyorsan jönnek a kernelek, de időnként nem árthat megnézni, használható-e újabb verzió. Nyilván senki nem tudja megmondani Rajtad kívül, mi lehet ez a review timeframe, normálisan karbantartott rendszer azonban nem ragadhat meg az őskorban.

-------------------------
Trust is a weakness...

Normalisan karbantartott rendszer mar wheezy-t hasznal, ha jol remlik, mar kijott.
--
Ki oda vagyik, hol szall a galamb, elszalasztja a kincset itt alant. | Gentoo Portal

Rosszul rémlik.

-------------------------
Trust is a weakness...

Akkor visszavonom. Undo.
--
Ki oda vagyik, hol szall a galamb, elszalasztja a kincset itt alant. | Gentoo Portal

Próbáltam kihámozni, de azt sehol nem láttam, hogy miképp terjed. Mert az vili, hogy mit csinál, de hogy kerül be a rendszerbe?

A rootkit a rendszer sikeres kompromittálása után kerül a rendszerre. Nyilván meg kell oldani, hogy a támadó megfelelő jogosultságot szerezzen előtte a rendszeren. Hogy ezt hogyan teszi - pl. sebezhetőség(ek)et használ ki stb. -, az más kérdés.

--
trey @ gépház

Thx, kb. erre gondoltam én is, máshogy nehézkes volna.