Új, HTTP iframe-et injektáló Linux rootkit bukkant fel

Titkosítás, biztonság, privát szféra

A hírek szerint egy új, 64 bites Linux rendszerekhez készült rootkit bukkant fel. 2012. november 13-án küldte be egy névtelen áldozat az FD levelezési listára. A cuccot egy olyan webszerver szerepkörben üzemelő gépen fedezték fel, amelyen a webszerver szoftver ismeretlen iframe-et adott hozzá az általa kiküldött HTTP válaszokhoz. Az áldozat egy kernelmodult fedezett fel, amelyet csatolt az FD listára küldött leveléhez abban a reményben, hogy arról a szakértőktől valamiféle információt kap. Eddig senki sem válaszolt a levelére.

A CrowdStrike viszont készített egy elemzést a rosszindulatú szoftverről. Ez elolvasható itt. Ezzel párhuzamosan a Kaspersky is infókat tett közzé a cuccról.

( zeroms | 2012. 11. 21., sze – 13:14 )

Nem ujkeletu dolog ez. 4-5 evvel ezelotti eset jut eszembe, mikor egy "mezei" szolgaltato GW-jet fertoztek meg es az osszes kliens aki rendelkezett valami fele virusvedelemmel hirtelen "bevirusozodott". Az egesz azzal kezdodott, hogy szolt egy ismeros, hogy az a "virusirto bigyo" folyamatosan jelzi, hogy virusos a gepe. Nekiestem de nem talaltam nyomat egy virusnak sem, igy hazakuldtem gepestol, de amire "szamitani lehetett" otthon ujra jelzett, igy helyszinre mentem es kis kutatokad utan sikerult lokalizalni a problema forrasat. A nagyobb oldalakat leszamitva (google, yahoo,...) minden lekeres valaszanak legelejen erkezett egy JS ami iframe-eket kezdett iframe-kbe betolteni (rekurzivan) es a legvegen yahoo-s ad-eket click-elgetett.

( mogorva v | 2012. 11. 21., sze – 13:54 )

Annak ellenére, amennyire le van fikázva az elemzésben, úgy tűnik, mégsem annyira sz*r.

( tzp | 2012. 11. 21., sze – 17:00 )

Jól értem, csak a konrét 2.6.32-5 (pl. Debian Squeeze) kernel verzió esetén aktiválódik ?

Ha igen, még egy ok, hogy az első dolgunk legyen saját kernelt feltenni... (esetleg a verziót is átírni benne valami sajátra.)

hogy jön ez most ide? nem hiszem hogy ez a legjobb ellenszer erre...

csak egy kérdés, hány szervered van? és ha ki jön egy bizt. kernel patch(hogy értesülsz róla) mennyi idő alatt pakolod ezt fel?
azért lényegesen jobban kartbantarható egy szerver csomag listából. persze nyilván mindennek van előnye és hátránya(ami itt ki is jött)

Ilyet senki nem mondott, ahhoz túl gyorsan jönnek a kernelek, de időnként nem árthat megnézni, használható-e újabb verzió. Nyilván senki nem tudja megmondani Rajtad kívül, mi lehet ez a review timeframe, normálisan karbantartott rendszer azonban nem ragadhat meg az őskorban.

-------------------------
Trust is a weakness...

( Dacr (nem ellenőrzött) | 2012. 11. 21., sze – 19:40 )

Próbáltam kihámozni, de azt sehol nem láttam, hogy miképp terjed. Mert az vili, hogy mit csinál, de hogy kerül be a rendszerbe?

A rootkit a rendszer sikeres kompromittálása után kerül a rendszerre. Nyilván meg kell oldani, hogy a támadó megfelelő jogosultságot szerezzen előtte a rendszeren. Hogy ezt hogyan teszi - pl. sebezhetőség(ek)et használ ki stb. -, az más kérdés.

--
trey @ gépház