Hand of Thief - linuxos banking trójairól blogolnak az RSA kutatói

Titkosítás, biztonság, privát szféra

Úgy tűnik, hogy a cyberbűnözők elkezdtek több energiát fordítani arra, hogy Windows után más operációs rendszerek felhasználóit is áldozatul ejtsék.

Az RSA kutatói a minap egy "Hand of Thief" nevű linuxos banking trójairól írtak. Orosz cyberbűnözői körök új, Linux rendszerekre szánt, banki információk ellopására kifejlesztett trójait kínálnak zárt underground fórumokon. Az új trójai ára 2000 dollár. Az ár tartalmazza a későbbi frissítéseket is. A malware jelenleg alapvető szolgáltatásokat - backdoor, grabber - tartalmaz, de várhatóan a közeljövőben már teljes értékű banking trójaivá növi ki magát. Ekkor az ára körülbelül 3000 dollár lesz. Főverzió váltásokkor további 550 dollárt kérnek majd érte.

A trójai fejlesztője állítja, hogy "terméke" 15 különböző Linux disztribúción - beleértve az Ubuntu-t, Fedora-t, Debian-t - működik. A desktop környezeteket tekintve, 8 különböző desktop környezetet - köztük a GNOME-ot és KDE-t - támogat.

Az RSA csapatban mindazonáltal kérdések fogalmazódtak meg a linuxos trójaival kapcsolatban. A linuxos trójaik ritkák és ennek jó oka van. Egyrészt a linuxos felhasználói tábor a windowsoshoz hasonlítva kicsi. Ez jelentősen csökkenti a potenciális áldozatok számát és ezáltal a trójaival realizálható lehetséges profitot. Másrészt - írja a blog - mivel a Linux nyílt forrású, a hibákat a közösség relatíve gyorsan javítja. Ráadásul a trójait áruló ügynökkel való beszélgetésből kiderült, hogy a fő támadási vektort az e-mailes kommunikációban és a social engineering-ben látja.

Mindezeket figyelembe véve, az RSA-sok szerint a trójai ára elég borsos. Szerintük csak az idő adhat választ arra, hogy a cyberbűnözök komolyabb szinten foglalkoznak-e majd a jövőben a Linuxszal, mint malware célplatformmal.

A részletek blogbejegyzésben.

( mynheer_gabor | 2013. 08. 08., cs – 10:17 )

troll mód be:
A desktop környezeteket tekintve, 8 különböző desktop környezetet - köztük a GNOME-ot és KDE-t - támogat.
Ez nagyon jó, erre a felhasználói programok nagy része sem képes :)

( zolti v | 2013. 08. 08., cs – 15:19 )

Nem igazán vagyok jártas ebben a témában, de ha nincs eleve fent a tárolókban (ezt sem lehet kizárni), akkor ez hogy fog feltelepülni ?
Évek óta csak a distróm saját tárolóit használom. Úgy gondolom kimeríti az igényeimet. Egy két új feature miatt nem vonok be újabb tárolókat, pláne nem telepítek ismeretlen binárisokat. Kell tartanom az ilyen jellegű programoktól?

Ahogy a cikk is tartalmazza, ezt valahogy külön meg kell oldani. A fószer az e-mail, soc. eng. megoldást javasolta, azaz a gépre juttatással a támadónak kell szívnia.

Vagy ismert sebezhetőség kihasználása, vagy fizetős 0day, de ez utóbbi akár további költséget is jelenthet, ami tovább drágíthatja a profitszerzést.

--
trey @ gépház

Rengetegszer látom az IRC csatornán, amikor az új felhasználók (néha a tapasztaltak is) azzal kezdik egy probléma megoldását, hogy 'vedd fel ezt vagy azt a PPA repot...' és persze ez bármi lehet, ráadásul innentől egy lépés a tetszőleges repo felvétele egy szál .deb miatt. És ha a repot felvették, mi akadályozza meg a repo készítőjét, hogy csináljon egy saját libc-t, aminek egy hangyányival magasabb a verziószáma a default distroban lévőnél?

( ak0sh | 2013. 08. 08., cs – 15:38 )

>a fő támadási vektort az e-mailes kommunikációban és a social engineering-ben
Szóval ez is egy PEBKAC trójai. :)

Helló!

én egy albán vírus vagyok, de mivel hazámban meglehetősen fejletlen a technológia, nem vagyok elég ügyes ahhoz, hogy kárt tegyek a számítógépedben. Ezért hát kérlek: légy szíves, néhány fontos fájlt törölj a gépedről, utána pedig továbbíts más felhasználóknak.

Nagyon nagy köszönet az együttműködésért!

Szívélyes üdvözlettel:
Albán vírus2

Helló!

Én az albán vírus új, fejlettebb változata vagyok, de mivel hazámban meglehetősen fejletlen a technológia, nem vagyok elég ügyes ahhoz, hogy kárt tegyek a számítógépedben. Ezért hát kérlek: először továbbíts más felhasználóknak, utána pedig néhány fontos fájlt törölj a gépedről.

Nagyon nagy köszönet az együttműködésért!

Szívélyes üdvözlettel:
Albán vírus3

Nem meglepő. Csodák nincsenek. A Linux hosszú ideje kvázi törhetetlen - vagy legalábbis nagyon nehéz kijátszani a védelmét és szerintem a felhasználó közreműködése/hülyesége nélkül esélytelen. Még ma is biztonságosabb az OSX-nél, a winfost meg szóba se hozzuk... :)

Tavaly ősszel olyan szépen bemászott hozzám valami pöcs, hogy öröm volt nézni.
Hivatalos, de lyukas, egyben elavult Nvidia driveren keresztül jött be. Nem volt közreműködés, és nem hülyeség miatt nem frissítettem. Videódriver frissítés legtöbbször problémás.
--
AGA@
Fork portal és az egyik logóm :)

Már akkor is jeleztem neked, hogy nem az NVIDIA driveren keresztül "mentek be" hozzád, ugyanis az egy local exploit volt.

Magad is elismerted, hogy telepítettél olyan dolgokat, ami nincs a disztródban és a lehetőség benne van, hogy azokkal hurcoltál be valamit. Az NVIDIA exploitot priv. emelésre használták a gépeden miután más módon bejutottak.

--
trey @ gépház

Szerintem nem kellene ilyen kijelenteseket tenned. Csak info: windows vista/2008 ota a ket vonal kernelszinten es a fobb rendszerszolgaltatasok szintjen megegyezik egymassal, es minden kiadott verzioval egyre kozelebb kerul a desktop a szerver verzio minosegehez. Konkretan emiatt - is - huztak a Vista kiadasat.
-- 

Ki oda vagyik, hol szall a galamb, elszalasztja a kincset itt alant.

( martonmiklos v | 2013. 08. 08., cs – 17:37 )

Közeleg a Linux desktop éve \o/

( carlcolt | 2013. 08. 09., p – 22:45 )

Ezekszerint jol teszem hogy netbanking only bongeszot masik userkent nyitok es annak a usernek 077 az umaskja. Ereztem en hogy egyszer lesz egy lyen, ami miatt majd igazam lesz. (jezusom tenyleg 700-at irtam? jo faradt lehettem)

( borosspet | 2013. 08. 10., szo – 12:15 )

Ez
ellen mivel lehet linux (Debian 7)
alatt védekezni?
Ha jól tudom, a Clamav arra van,
hogy a Win rendszerekre
átmenő/onnan átjövő file-ok
wines vírusait irtsa (pl. linux
alapú fileszerver, stb.)... vagy
tévedek, és valódi, teljes körű
linuxos vírusirtó lenne?
Esetleg jók ellene a rootkit
vadász programok (rkhunter,
chkrootkit, stb.), vagy valami más
kell hozzá?

Eloszor is, a textbox vegenel nem kell entert nyomni, ott magatol is uj sorba kerul a szoveg, az oldalon viszont eleg randa ez a kis helyre szoritkozo komment.

A clamav amugy azokat a virusokat es egyebeket szuri, ami benne van az adatbazisaba, operacios rendszerre valo tekintet nelkul. Neki mindegy, hogy Win, Lin, OSX, BSD, vagy mas rendszeren irtja a virusokat, mindent leirt, amirol tudja, hogy virus.

A rootkit irto cuccokrol (chrootkit, rkhunter) ugyanezt lehet elmondani: ha bekerult az adatbazisukba, kerdes nelkul irtjak le. Elsosorban most turelem kell, amig az irtok elkezdik felismerni, addig meg nem nyitogatni meg mindenfele random linkeket, amiket kuldenek neked.
-- 

Ki oda vagyik, hol szall a galamb, elszalasztja a kincset itt alant.