Hand of Thief - linuxos banking trójairól blogolnak az RSA kutatói

 ( trey | 2013. augusztus 8., csütörtök - 8:45 )

Úgy tűnik, hogy a cyberbűnözők elkezdtek több energiát fordítani arra, hogy Windows után más operációs rendszerek felhasználóit is áldozatul ejtsék.

Az RSA kutatói a minap egy "Hand of Thief" nevű linuxos banking trójairól írtak. Orosz cyberbűnözői körök új, Linux rendszerekre szánt, banki információk ellopására kifejlesztett trójait kínálnak zárt underground fórumokon. Az új trójai ára 2000 dollár. Az ár tartalmazza a későbbi frissítéseket is. A malware jelenleg alapvető szolgáltatásokat - backdoor, grabber - tartalmaz, de várhatóan a közeljövőben már teljes értékű banking trójaivá növi ki magát. Ekkor az ára körülbelül 3000 dollár lesz. Főverzió váltásokkor további 550 dollárt kérnek majd érte.

A trójai fejlesztője állítja, hogy "terméke" 15 különböző Linux disztribúción - beleértve az Ubuntu-t, Fedora-t, Debian-t - működik. A desktop környezeteket tekintve, 8 különböző desktop környezetet - köztük a GNOME-ot és KDE-t - támogat.

Az RSA csapatban mindazonáltal kérdések fogalmazódtak meg a linuxos trójaival kapcsolatban. A linuxos trójaik ritkák és ennek jó oka van. Egyrészt a linuxos felhasználói tábor a windowsoshoz hasonlítva kicsi. Ez jelentősen csökkenti a potenciális áldozatok számát és ezáltal a trójaival realizálható lehetséges profitot. Másrészt - írja a blog - mivel a Linux nyílt forrású, a hibákat a közösség relatíve gyorsan javítja. Ráadásul a trójait áruló ügynökkel való beszélgetésből kiderült, hogy a fő támadási vektort az e-mailes kommunikációban és a social engineering-ben látja.

Mindezeket figyelembe véve, az RSA-sok szerint a trójai ára elég borsos. Szerintük csak az idő adhat választ arra, hogy a cyberbűnözök komolyabb szinten foglalkoznak-e majd a jövőben a Linuxszal, mint malware célplatformmal.

A részletek blogbejegyzésben.

Hozzászólás megjelenítési lehetőségek

A választott hozzászólás megjelenítési mód a „Beállítás” gombbal rögzíthető.

troll mód be:
A desktop környezeteket tekintve, 8 különböző desktop környezetet - köztük a GNOME-ot és KDE-t - támogat.
Ez nagyon jó, erre a felhasználói programok nagy része sem képes :)

:D
Made my day

BlackY

:D

:D

:)

Nevettek, de ez teljesen logikus; a felhasználói programok nagy részét nem 2000 dollárért árulják.

továbbá a vírusnak túl bonyolult guira sincs szüksége :)

Melyik program nem működik bármelyik asztali környezeten? Awesomeot használok, ami nem épp egy mainstream környezet, de még nem találkoztam semmi problémával.

mukodik != tamogat.
--
Ki oda vagyik, hol szall a galamb, elszalasztja a kincset itt alant.

Elsőre cigánybűnözőt olvastam. /o\
--
zsebHUP-ot használok!

Nem mertem leírni, de én is. :D

Hand of Thief :-)

:D

Ők eddig sem korlátozták tevékenységüket a windows felhasználókra :)

Ezt sajnos tanúsíthatom. :(
--
zsebHUP-ot használok!

Nem igazán vagyok jártas ebben a témában, de ha nincs eleve fent a tárolókban (ezt sem lehet kizárni), akkor ez hogy fog feltelepülni ?
Évek óta csak a distróm saját tárolóit használom. Úgy gondolom kimeríti az igényeimet. Egy két új feature miatt nem vonok be újabb tárolókat, pláne nem telepítek ismeretlen binárisokat. Kell tartanom az ilyen jellegű programoktól?

Böngésző hibáját kihasználva?

Ahogy a cikk is tartalmazza, ezt valahogy külön meg kell oldani. A fószer az e-mail, soc. eng. megoldást javasolta, azaz a gépre juttatással a támadónak kell szívnia.

Vagy ismert sebezhetőség kihasználása, vagy fizetős 0day, de ez utóbbi akár további költséget is jelenthet, ami tovább drágíthatja a profitszerzést.

--
trey @ gépház

Rengetegszer látom az IRC csatornán, amikor az új felhasználók (néha a tapasztaltak is) azzal kezdik egy probléma megoldását, hogy 'vedd fel ezt vagy azt a PPA repot...' és persze ez bármi lehet, ráadásul innentől egy lépés a tetszőleges repo felvétele egy szál .deb miatt. És ha a repot felvették, mi akadályozza meg a repo készítőjét, hogy csináljon egy saját libc-t, aminek egy hangyányival magasabb a verziószáma a default distroban lévőnél?

Idézet:
mi akadályozza meg a repo készítőjét, hogy csináljon egy saját libc-t, aminek egy hangyányival magasabb a verziószáma a default distroban lévőnél?

Zypp-nél pl. a vendor stickyness... :)

BlackY

>a fő támadási vektort az e-mailes kommunikációban és a social engineering-ben
Szóval ez is egy PEBKAC trójai. :)

Helló!

én egy albán vírus vagyok, de mivel hazámban meglehetősen fejletlen a technológia, nem vagyok elég ügyes ahhoz, hogy kárt tegyek a számítógépedben. Ezért hát kérlek: légy szíves, néhány fontos fájlt törölj a gépedről, utána pedig továbbíts más felhasználóknak.

Nagyon nagy köszönet az együttműködésért!

Szívélyes üdvözlettel:
Albán vírus2

Helló!

Én az albán vírus új, fejlettebb változata vagyok, de mivel hazámban meglehetősen fejletlen a technológia, nem vagyok elég ügyes ahhoz, hogy kárt tegyek a számítógépedben. Ezért hát kérlek: először továbbíts más felhasználóknak, utána pedig néhány fontos fájlt törölj a gépedről.

Nagyon nagy köszönet az együttműködésért!

Szívélyes üdvözlettel:
Albán vírus3

-

A torles is megvolt mar? :-)
--
Ki oda vagyik, hol szall a galamb, elszalasztja a kincset itt alant.

Úgy érted, hogy a .rm fájlok lejátszása? ;-)

Nem meglepő. Csodák nincsenek. A Linux hosszú ideje kvázi törhetetlen - vagy legalábbis nagyon nehéz kijátszani a védelmét és szerintem a felhasználó közreműködése/hülyesége nélkül esélytelen. Még ma is biztonságosabb az OSX-nél, a winfost meg szóba se hozzuk... :)

Azért ez így nagyon erős túlzás, azt hiszem.

Úgy érzem, ezt pár helyen idézni fogják… :)

-----
"Egy jó kapcsolatban a társunkat az ő dolgában kell támogatni, nem a miénkben."
rand() a lelke mindennek! :)

Akarok egy "A Linux hosszú ideje kvázi törhetetlen" pólót! pingvinbolt vagy valaki?
___
Arany János: Grammatika versben

Ha nincs a hupmeme-n, akkor nem is igazán jó idézet.

Fenn van.

Hagyjatok, ujszulottnek minden vicc uj.
--
Ki oda vagyik, hol szall a galamb, elszalasztja a kincset itt alant.

Tavaly ősszel olyan szépen bemászott hozzám valami pöcs, hogy öröm volt nézni.
Hivatalos, de lyukas, egyben elavult Nvidia driveren keresztül jött be. Nem volt közreműködés, és nem hülyeség miatt nem frissítettem. Videódriver frissítés legtöbbször problémás.
--
AGA@
Fork portal és az egyik logóm :)

Erről publikus részletek?

Itt panaszkodtam róla.
Utána frissítettem a drivert, többször változtattam jelszót, és többet nem jöttek be. Mostanában már nem használom azt a gépet, csak ha kell róla valami.
--
AGA@
Fork portal és az egyik logóm :)

Már akkor is jeleztem neked, hogy nem az NVIDIA driveren keresztül "mentek be" hozzád, ugyanis az egy local exploit volt.

Magad is elismerted, hogy telepítettél olyan dolgokat, ami nincs a disztródban és a lehetőség benne van, hogy azokkal hurcoltál be valamit. Az NVIDIA exploitot priv. emelésre használták a gépeden miután más módon bejutottak.

--
trey @ gépház

Közben elolvastam, így hihetőbb a sztori.
Furcsa volt, hogy VGA driver hatással van a netes kommunikációra (persze ki tudja manapság).

Lehet. Nekem az maradt meg, hogy kvázi root jogot szerzett valaki a driveren keresztül. Gimphez most is ugyanazokat a plugineket használom, nem másztak be. Vagy ki tudja PcLosnál milyen réseket hagytak még, utána is volt vele gondom.
--
AGA@
Fork portal és az egyik logóm :)

kvázi :)

Gondolom, ha belekérdezek, hogy szerinted miért is biztonságosabb, mondjuk, mint egy Windows Server...akkor véget is ér a beszélgetésünk.

Gondoltam feldobom kicsit ezt a kánikulai uborkaszezont egy kis trollkodással :))
Windows szerver biztosan nem egy kaptafa a desktoppal, de nálam többet tudók nyilatkozzanak...

Szerintem nem kellene ilyen kijelenteseket tenned. Csak info: windows vista/2008 ota a ket vonal kernelszinten es a fobb rendszerszolgaltatasok szintjen megegyezik egymassal, es minden kiadott verzioval egyre kozelebb kerul a desktop a szerver verzio minosegehez. Konkretan emiatt - is - huztak a Vista kiadasat.
--
Ki oda vagyik, hol szall a galamb, elszalasztja a kincset itt alant.

Közeleg a Linux desktop éve \o/

+1
Ezaz, ha ezek a kártékony cuccok is elterjednek, no Az lesz A Linux Desktop Éve! ;)
--
zsebHUP-ot használok!

Ezekszerint jol teszem hogy netbanking only bongeszot masik userkent nyitok es annak a usernek 077 az umaskja. Ereztem en hogy egyszer lesz egy lyen, ami miatt majd igazam lesz. (jezusom tenyleg 700-at irtam? jo faradt lehettem)

A hupmeme-re az eredeti került fel…

-----
"Egy jó kapcsolatban a társunkat az ő dolgában kell támogatni, nem a miénkben."
rand() a lelke mindennek! :)

Rendkívül fontos információ.
--
AGA@
Fork portal és az egyik logóm :)

Ez
ellen mivel lehet linux (Debian 7)
alatt védekezni?
Ha jól tudom, a Clamav arra van,
hogy a Win rendszerekre
átmenő/onnan átjövő file-ok
wines vírusait irtsa (pl. linux
alapú fileszerver, stb.)... vagy
tévedek, és valódi, teljes körű
linuxos vírusirtó lenne?
Esetleg jók ellene a rootkit
vadász programok (rkhunter,
chkrootkit, stb.), vagy valami más
kell hozzá?

Eloszor is, a textbox vegenel nem kell entert nyomni, ott magatol is uj sorba kerul a szoveg, az oldalon viszont eleg randa ez a kis helyre szoritkozo komment.

A clamav amugy azokat a virusokat es egyebeket szuri, ami benne van az adatbazisaba, operacios rendszerre valo tekintet nelkul. Neki mindegy, hogy Win, Lin, OSX, BSD, vagy mas rendszeren irtja a virusokat, mindent leirt, amirol tudja, hogy virus.

A rootkit irto cuccokrol (chrootkit, rkhunter) ugyanezt lehet elmondani: ha bekerult az adatbazisukba, kerdes nelkul irtjak le. Elsosorban most turelem kell, amig az irtok elkezdik felismerni, addig meg nem nyitogatni meg mindenfele random linkeket, amiket kuldenek neked.
--
Ki oda vagyik, hol szall a galamb, elszalasztja a kincset itt alant.

"Eloszor is, a textbox vegenel nem kell entert nyomni, ott magatol is uj sorba kerul a szoveg, az oldalon viszont eleg randa ez a kis helyre szoritkozo komment."

Mobilos Opera Mini, gombos featurephone-on, nem zsebhup. Ez gondolom elárul mindent... (gyk: egy kumma entert nem nyomtam)