praegune kellaaeg 17.06.2025 20:17:42 |
|
Hinnavaatlus
:: Foorum
:: Uudised
:: Ärifoorumid
:: HV F1 ennustusvõistlus
:: Pangalink
:: Telekavad
:: HV toote otsing
|
|
| autor |
|
tahanteada
Lõuapoolik
liitunud: 04.04.2003
|
09.12.2014 12:39:14
Järjekordne "turvapeavalu" Linuxi-maailmas: Stealth "Turla" Malware Infects Unknown Number of Linux System |
|
|
Paistab, et järjekordne "turvapeavalu" Linuxi-maailmas... 
Ning lühidalt - on näha, et usinad viiruste/Malware-kirjutajad on siis hakkama saanud "pahategelasega", mis on:
- on väga raskesti avastatav ning hetkel suutis selle leida ainsana Kaspersky tõrjetarkvara.
- ning on "tark ja nutikas" ja It doesn't need root
- PS; ning uskuda võib, et "pahategelase" autorid kasutavad ka selle ära, et Linuxi-kasutajad elavad mineviku-unistustes, et Linux on turvaline ja ei vaja täiendavalt mingit viiruse- ega Malware-tõrjet. 
See lugu nüüd siis ise, kaks linki. Esimene kirjutab siis rahvakeeles ja teine kirjutab siis juba profikeeles sellest probleemist lähemalt.:
1. Breaking: Stealth "Turla" Malware Infects Unknown Number of Linux Systems
A new threat has been found by Kasperky Labs
The Linux Turla is a new piece of malware designed to infect only Linux computers, which has managed to remain relatively hidden until now and has the potential of doing a lot of harm. Unfortunately, very little is known about it or how to fix it.
Edasi lingil:
http://news.softpedia.com/news/Breaking-Unknown-and-Stealth-Turla-Malware-Infects-Unknown-Number-of-Linux-Systems-466883.shtml
2. The 'Penquin' Turla
A Turla/Snake/Uroburos Malware for Linux
Recently, an interesting malicious sample was uploaded to a multi-scanner service. This immediately triggered our interest because it appears to represent a previously unknown piece of a larger puzzle. That puzzle is "Turla", one of the most complex APTs in the world.
We have written previously about the Turla APT with posts about their Epic Turla operations and Agent.btz inspiration . So far, every single Turla sample we've encountered was designed for the Microsoft Windows family, 32 and 64 bit operating systems. The newly discovered Turla sample is unusual in the fact that it's the first Turla sample targeting the Linux operating system that we have discovered.
Edasi lingil:
https://securelist.com/blog/research/67962/the-penquin-turla-2/
|
|
| Kommentaarid: 284 loe/lisa |
Kasutajad arvavad: |
   |
:: |
2 :: |
11 :: |
211 |
|
| tagasi üles |
|
 |
aht0
HV veteran
liitunud: 14.10.2003
|
|
11.12.2014 02:12:09
|
|
|
| Veel üks põhjus inimestele peale systemd pealesurumist FreeBSD peale ülekolimiseks.. Pole linuxi kernelit, pole ka selle kerneli turvaauke
|
|
| Kommentaarid: 82 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
1 :: |
71 |
|
| tagasi üles |
|
|
Dirty Harry
HV Guru
liitunud: 05.09.2002
|
|
11.12.2014 11:21:41
|
|
|
Dogbert võttis väga hästi kogu selle olukorra teises teemas kokku, pasten selle ka siia. Asjad pole täitsa nii nagu kirjutatakse uudistes, rääkimata eestikeelsest emotsionaalsest ümberjutustusest.
| Dogbert kirjutas: |
Nagu ma sealt Kaspersky artiklist välja loen, siis süsteemi pesitsema jäämiseks tuleb see jubin ikkagi root õigustes käivitada - käsitsi.
Lisaks on ta staatiliselt lingitud kasutama igivanu, ilmselt turvaaukudega glibc, openssl ja libpcap teeke - võimalik et sealtkaudu saab endale kaaperdada root õigused raw socket-i loomiseks, vastasel juhul poleks raw socketi loomine root õigusteta võimalik. Root õigusteta käivitamisel on siis tegemist ajutise "serveriga", mis töötab seni kuni selle käivitanud kasutaja on süsteemi sisse loginud.
Ja ükskõik, kas seda käivitatakse siis root õigustes või mitte, igal juhul tuleb talle käsitsi ette anda võrguliidese nimi ja mingisugune Turlale omane ID kood. See tähendab, et ründaja peab ise olema juba süsteemi sisse loginud, ta peab omama seda ID-koodi ja ta käivitab seal selle rootkiti käsitsi ja sisestab parameetrid käsitsi.
Isegi kui leidub mõni masin, kus tarkvara on ammusest ajast uuendamata ja kasutatakse just täpselt neid vigaseid teeke, siis lõpuks peab masin ikkagi otse internetis olema otsapidi, et "keskusest" käske vastu võtta. NAT taga võib ta kuulata palju tahab, midagi temani ei jõua.
Kokkuvõttes - see ei ole viirus mis ise leviks, mis suvalist faili alla laadides või isegi seda käivitades masinat nakataks. Tegemist on rootkitiga, mis tuleb kasutaja poolt sihilikult käivitada ja anda talle promptis ette vajalikud parameetrid.
Rootkit ei ole Linuxi puhul midagi uut - rootkitte on tehtud enne ja tehakse tulevikus ja see siin põhineb vanal ja tuntud cd00r rootkitil. Ka rootkiti nähtamatu olek tavalistele admini töövahenditele, nagu seal nimetatud netstat ei ole midagi uut. Ainus "uus" asi näib siin siis olevat otsene seos Windowsist juba tuntud Turla autoritega. Just see oli Kaspersky-meestele üllatuseks, et Turla autorid on midagi ka Linuxi jaoks valmis nikerdanud.
Ma pole otseselt kindel, aga tõenäoliselt oleks ka selle rootkiti tegutsemine avastatav chkrootkit või rkhunter abil.
Suuremas osas on siin nähtavasti tegemist artiklite autorite veidi ebaselgest jutust tingitud valesti arusaamisega, nagu oleks tegemist mingi ennenähtamatu ohuga, mis Linuxi masinaid nakatab, nagu Windowsi viirused nakatavad Windowsi. Vaat' ei ole. See on tööriist, nagu maas vedelev suur mutrivõti. See ei karga ise kellelegi säärde ja seda saab kasutada ainult õige suurusega mutrite keeramiseks.
PS. See ei ole ei troojaviirus, ka mitte trooja ega viirus, vaid rootkit. Veel vähem on ta "toorjaviirus". |
|
|
| Kommentaarid: 181 loe/lisa |
Kasutajad arvavad: |
|
:: |
1 :: |
1 :: |
145 |
|
| tagasi üles |
|
|
|
| lisa lemmikuks |
|
 |
sa ei või postitada uusi teemasid siia foorumisse
sa ei või vastata selle foorumi teemadele
sa ei või muuta oma postitusi selles foorumis
sa ei või kustutada oma postitusi selles foorumis
sa ei või vastata küsitlustele selles foorumis
sa ei saa lisada manuseid selles foorumis
sa võid manuseid alla laadida selles foorumis
|
|
Hinnavaatlus ei vastuta foorumis tehtud postituste eest.
|
:: KKK
:: otsing 
:: statistika
:: kasutajate nimekiri
:: kasutajate grupid
:: registreeri
teata moderaatorile
