praegune kellaaeg 18.06.2025 02:18:15 |
|
Hinnavaatlus
:: Foorum
:: Uudised
:: Ärifoorumid
:: HV F1 ennustusvõistlus
:: Pangalink
:: Telekavad
:: HV toote otsing
|
|
| autor |
|
olavsu1
külaline
|
|
| tagasi üles |
|
 |
tahanteada
Lõuapoolik
liitunud: 04.04.2003
|
10.12.2014 12:55:02
Re: Nähtamatu Linux toorjaviirus võib olla nakatanud ohvreid juba aastaid |
|
|
Ära siis kahte erinevat Turla-t ka ühte paati sõitma pane. 
1. Varasem, teada-tuntud Turla on siis Windows-põhine
2. Kuid uus, alles avastatud Turla, on siis kirjutatud puhtalt Linuxile.
Tsitaat:
We have written previously about the Turla APT with posts about their Epic Turla operations and Agent.btz inspiration . So far, every single Turla sample we've encountered was designed for the Microsoft Windows family, 32 and 64 bit operating systems. The newly discovered Turla sample is unusual in the fact that it's the first Turla sample targeting the Linux operating system that we have discovered.
https://securelist.com/blog/research/67962/the-penquin-turla-2/
---------------------
Ja veel väike nüanss, mille oleksid võinud avastada, juhul kui oled Linuxi-fänn ja kasutaja, on siis see, et uus Turla ei vaja oma tegevuseks: It doesn't need root
A new threat has been found by Kasperky Labs
The Linux Turla is a new piece of malware designed to infect only Linux computers, which has managed to remain relatively hidden until now and has the potential of doing a lot of harm. Unfortunately, very little is known about it or how to fix it.
http://news.softpedia.com/news/Breaking-Unknown-and-Stealth-Turla-Malware-Infects-Unknown-Number-of-Linux-Systems-466883.shtml
|
|
| Kommentaarid: 284 loe/lisa |
Kasutajad arvavad: |
   |
:: |
2 :: |
11 :: |
211 |
|
| tagasi üles |
|
|
Dogbert
HV Guru
liitunud: 03.05.2004
|
|
10.12.2014 17:24:16
|
|
|
Nagu ma sealt Kaspersky artiklist välja loen, siis süsteemi pesitsema jäämiseks tuleb see jubin ikkagi root õigustes käivitada - käsitsi.
Lisaks on ta staatiliselt lingitud kasutama igivanu, ilmselt turvaaukudega glibc, openssl ja libpcap teeke - võimalik et sealtkaudu saab endale kaaperdada root õigused raw socket-i loomiseks, vastasel juhul poleks raw socketi loomine root õigusteta võimalik. Root õigusteta käivitamisel on siis tegemist ajutise "serveriga", mis töötab seni kuni selle käivitanud kasutaja on süsteemi sisse loginud.
Ja ükskõik, kas seda käivitatakse siis root õigustes või mitte, igal juhul tuleb talle käsitsi ette anda võrguliidese nimi ja mingisugune Turlale omane ID kood. See tähendab, et ründaja peab ise olema juba süsteemi sisse loginud, ta peab omama seda ID-koodi ja ta käivitab seal selle rootkiti käsitsi ja sisestab parameetrid käsitsi.
Isegi kui leidub mõni masin, kus tarkvara on ammusest ajast uuendamata ja kasutatakse just täpselt neid vigaseid teeke, siis lõpuks peab masin ikkagi otse internetis olema otsapidi, et "keskusest" käske vastu võtta. NAT taga võib ta kuulata palju tahab, midagi temani ei jõua.
Kokkuvõttes - see ei ole viirus mis ise leviks, mis suvalist faili alla laadides või isegi seda käivitades masinat nakataks. Tegemist on rootkitiga, mis tuleb kasutaja poolt sihilikult käivitada ja anda talle promptis ette vajalikud parameetrid.
Rootkit ei ole Linuxi puhul midagi uut - rootkitte on tehtud enne ja tehakse tulevikus ja see siin põhineb vanal ja tuntud cd00r rootkitil. Ka rootkiti nähtamatu olek tavalistele admini töövahenditele, nagu seal nimetatud netstat ei ole midagi uut. Ainus "uus" asi näib siin siis olevat otsene seos Windowsist juba tuntud Turla autoritega. Just see oli Kaspersky-meestele üllatuseks, et Turla autorid on midagi ka Linuxi jaoks valmis nikerdanud.
Ma pole otseselt kindel, aga tõenäoliselt oleks ka selle rootkiti tegutsemine avastatav chkrootkit või rkhunter abil.
Suuremas osas on siin nähtavasti tegemist artiklite autorite veidi ebaselgest jutust tingitud valesti arusaamisega, nagu oleks tegemist mingi ennenähtamatu ohuga, mis Linuxi masinaid nakatab, nagu Windowsi viirused nakatavad Windowsi. Vaat' ei ole. See on tööriist, nagu maas vedelev suur mutrivõti. See ei karga ise kellelegi säärde ja seda saab kasutada ainult õige suurusega mutrite keeramiseks.
PS. See ei ole ei troojaviirus, ka mitte trooja ega viirus, vaid rootkit. Veel vähem on ta "toorjaviirus".
_________________
Tee inimesele lõke ja tal on soe üheks päevaks, pista ta põlema ja tal on soe elu lõpuni. (Terry Pratchett)
e.k spikker: muhk on kumer, lohk on nõgus. |
|
| Kommentaarid: 33 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
0 :: |
32 |
|
| tagasi üles |
|
|
olavsu1
külaline
|
|
| tagasi üles |
|
|
tarmac
HV kasutaja
liitunud: 10.08.2007
|
|
11.12.2014 11:32:49
|
|
|
Pealkirjas paistab olema trükiviga. Toorja, võiks olla vast trooja.
_________________
www.crawl.ee Eesti R/C Rock Crawlerid. |
|
| Kommentaarid: 29 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
0 :: |
28 |
|
| tagasi üles |
|
|
tahanteada
Lõuapoolik
liitunud: 04.04.2003
|
|
11.12.2014 13:54:51
|
|
|
Mõned kokkuvõtvad netilood ja need mõlemad kirjutavad samamoodi, et varasemad, suuremad, teatud rünnakud tehti Windowsi-Turlaga ja et Linuxi-Turla on siis uus avastus ja pole teada, et kui palju on seda siis kasutatud "ründerelvana".
The Hacker News toob välja ka versiooni, et Turla-rünnakud on sooritatud Venemaalt. 
Tsitaat:
The German security company G Data believed that Turla campaign is linked to Russia and has in the past exploited a variety of Windows vulnerabilities, at least two of which were zero-days, to infect government institutions, embassies, military, education, research, and pharmaceutical companies in more than 45 countries.
------------------------------
1. Powerful Linux Trojan 'Turla' Infected Large Number of Victims
http://thehackernews.com/2014/12/powerful-linux-trojan-turla.html
2. Linux-Varianten eines fortschrittlichen Trojaners für Windows entdeckt
Die Linux-Varianten basieren auf dem Trojaner Turla, den Forscher der Sicherheitsunternehmen Kaspersky Labs und Symantec im Jahresverlauf untersucht hatten.
http://www.pro-linux.de/news/1/21832/linux-varianten-eines-fortschrittlichen-trojaners-fuer-windows-entdeckt.html
|
|
| Kommentaarid: 284 loe/lisa |
Kasutajad arvavad: |
|
:: |
2 :: |
11 :: |
211 |
|
| tagasi üles |
|
|
|
| lisa lemmikuks |
|
 |
sa ei või postitada uusi teemasid siia foorumisse
sa ei või vastata selle foorumi teemadele
sa ei või muuta oma postitusi selles foorumis
sa ei või kustutada oma postitusi selles foorumis
sa ei või vastata küsitlustele selles foorumis
sa ei saa lisada manuseid selles foorumis
sa võid manuseid alla laadida selles foorumis
|
|
Hinnavaatlus ei vastuta foorumis tehtud postituste eest.
|
:: KKK
:: otsing 
:: statistika
:: kasutajate nimekiri
:: kasutajate grupid
:: registreeri
teata moderaatorile
