Ny grim hybrid Linux malware

OracleJMT
Antal: 378
Tilmeldt:
26-05-2013
User is offline
Ny grim hybrid Linux malware

En ny malware til Linux, der udnytter dirty cow-sårbarheden, har kryptomining-egenskaber, og som installerer både trojan og rootkit, skjuler processer, det være sig både memory, netværk, daemons, plus stjæler root adgangskode og SSH-nøgler, er blevet opdaget af Dr. Web:

Zdnet Artikel

Been around in IT & IT security since 07'
Entered the Nix* world in march 2011
Have tried & used most, if not all systems available, except LFS

I'm platform agnostic, I use what works for me
My favorites are:

Linux: Ubuntu, Slackware, OpenSUSE, Debian, Fedora
Unix: FreeBSD, OpenBSD, Illumos/Openindiana, DragonflyBSD, NetBSD, OSX


frogmaster
frogmaster's picture
Antal: 3785
Tilmeldt:
20-05-2010
User is offline
Tak for info. Det er

Tak for info. Det er overordenligt interessant. Crypto-mining malware er ganske ny på Linux og noget man ikke bør se let på.

Dirty Cow er en gammel alvorlig svaghed i Linux kernel, men skulle være patched for ca. to år siden så vidt jeg ved. Om så det er gjort godt nok iht nye varianter af Dirty Cow ved jeg ikke.

Under alle omstændigheder bør man være opmærksom og har man en oldsag af en Linux server, så se og få den opgraderet.


OracleJMT
OracleJMT's picture
Antal: 378
Tilmeldt:
26-05-2013
User is offline
Jeg synes det er

Jeg synes det er skræmmende, at et shellscript på 1000 linjer kode kan forårsage så meget skade på en så sofistikeret måde på verdens måske mest sikre platform.

Been around in IT & IT security since 07'
Entered the Nix* world in march 2011
Have tried & used most, if not all systems available, except LFS

I'm platform agnostic, I use what works for me
My favorites are:

Linux: Ubuntu, Slackware, OpenSUSE, Debian, Fedora
Unix: FreeBSD, OpenBSD, Illumos/Openindiana, DragonflyBSD, NetBSD, OSX


frogmaster
frogmaster's picture
Antal: 3785
Tilmeldt:
20-05-2010
User is offline
Javist. Jeg vil lidt tro at

Javist. Jeg vil lidt tro at dem/os, der er lever af at administrere MS Windows, ikke lader sig skræmme så nemt. Jeg vil mene vi er vant til sådan noget ;)


OracleJMT
OracleJMT's picture
Antal: 378
Tilmeldt:
26-05-2013
User is offline
Det var jeg også.

Det var jeg også. Uoverensstemmelser med mig selv om hvilket sikkerhedsprogram jeg skulle bruge; jeg brugte alt fra DefenseWall, over Comodo til Kaspersky Internet Security, - drev mig nuts. Jeg har tendens til mani, så jeg skiftede, som man skifter underhylere, - ligeledes foregik det med sikkerhedskonfigurationer, som EMET (mitigationsværktøj) I de senere år blev det skiften af distros og BSD. OSX på min gamle Macbook Pro.

Så sikkerhed kom så meget ind under huden, at jeg skiftede fra Windows for evigt. Jeg kunne ikke styre mig.

Det kunne jeg heller ikke med Linux platforme og Unix, som nævnt ovenfor. Det er først de senere år, at jeg er faldet til ro og bruger computere, som værktøj.

Men et eller andet har jeg da lært. :-D

Been around in IT & IT security since 07'
Entered the Nix* world in march 2011
Have tried & used most, if not all systems available, except LFS

I'm platform agnostic, I use what works for me
My favorites are:

Linux: Ubuntu, Slackware, OpenSUSE, Debian, Fedora
Unix: FreeBSD, OpenBSD, Illumos/Openindiana, DragonflyBSD, NetBSD, OSX


cb400f
cb400f's picture
Antal: 3449
Tilmeldt:
20-02-2005
User is offline
Hmm, hvis den spreder sig

Hmm, hvis den spreder sig via SSH så er de fleste "almindelige" desktop-brugere ikke i fare. Udover at den muligvis er afhængig af en håbløst forældet kerne.


OracleJMT
OracleJMT's picture
Antal: 378
Tilmeldt:
26-05-2013
User is offline
Medmindre der er nye

Medmindre der er nye varianter, der ikke er rettet, der også bliver udnyttet.

Been around in IT & IT security since 07'
Entered the Nix* world in march 2011
Have tried & used most, if not all systems available, except LFS

I'm platform agnostic, I use what works for me
My favorites are:

Linux: Ubuntu, Slackware, OpenSUSE, Debian, Fedora
Unix: FreeBSD, OpenBSD, Illumos/Openindiana, DragonflyBSD, NetBSD, OSX


allanhilliger
Antal: 49
Tilmeldt:
16-12-2017
User is offline
Antivirusprog ifm hybrid Linux malwa...

Hej

Skal man være bekymret, når jeg ingen gang ved hvad "dirty cow" udfører og iøvrigt kører rene desktop xfce-miljøer ala xUbuntu v18.04 og xManjaro v18 og xArchLinux v2018.10.01 og xMintLinux v19??

Var det ik noget med en tråd om at man ik behøvede at kører antivirus som sikkerhedprog i linux??

/allan


OracleJMT
OracleJMT's picture
Antal: 378
Tilmeldt:
26-05-2013
User is offline
Nej, du skal ikke være

Nej, du skal ikke være bekymret. Desktop maskiner er ikke i fare. Servere er noget helt andet og er meget mere udsat, Allan.

Been around in IT & IT security since 07'
Entered the Nix* world in march 2011
Have tried & used most, if not all systems available, except LFS

I'm platform agnostic, I use what works for me
My favorites are:

Linux: Ubuntu, Slackware, OpenSUSE, Debian, Fedora
Unix: FreeBSD, OpenBSD, Illumos/Openindiana, DragonflyBSD, NetBSD, OSX


allanhilliger
Antal: 49
Tilmeldt:
16-12-2017
User is offline
Spg om hvad "dirty cow" gør...

TAK for svaret OracleJMT, men hvad gør "dirty cow"?? /allan


OracleJMT
OracleJMT's picture
Antal: 378
Tilmeldt:
26-05-2013
User is offline
Dirty Cow er en sårbarhed,

Dirty Cow er en sårbarhed, altså en fejl. Dem er der mange af i alle systemer. Den er lappet for længst, men der kan være nye varianter, som kan udnyttes, - mest servere er i risikozonen, fordi de er langt langt mere angrebet. Så det er egentlig ikke så vigtigt, om dit system var sårbart med en ny variant af sårbarheden, - da den ikke rigtig kan udnyttes, da der ikke rigtigt er nogen angrebsflade på en desktop.

Been around in IT & IT security since 07'
Entered the Nix* world in march 2011
Have tried & used most, if not all systems available, except LFS

I'm platform agnostic, I use what works for me
My favorites are:

Linux: Ubuntu, Slackware, OpenSUSE, Debian, Fedora
Unix: FreeBSD, OpenBSD, Illumos/Openindiana, DragonflyBSD, NetBSD, OSX


frogmaster
frogmaster's picture
Antal: 3785
Tilmeldt:
20-05-2010
User is offline
men hvad gør "dirty

#9: men hvad gør "dirty cow"??

Det er et godt spørgsmål, besvaret af https://dirtycow.ninja/ , men bemærk også at der ikke eksisterer nemme svar, eller nem forståelse, på komplicerede problemer ...

Sådan noget forudsætter, som i mange andre tilfælde, den nødvendige uvildige uddannelsesmæssige indlæring af befolkningerne. Hvis man ikke forstår det med anden begrundelse, så i det mindste iht den økonomiske konkurrence evne. Det ikke muligt at lægge hovedet på puden, så at sige ...

Tillad mig, endnu engang, at minde om den enorme forskel der er på OpenSource og proprietær beslutningsprocess, at alt bør være transparent for hvad angår beslutningsprocesserne, proprietære ofte fremfører bør hemmeligholdes i henhold til traditionel opfattelse af sikkerhed og beslutningsproces.

Denne traditionelle opfattelse, er ikke kompatibel med fremtiden. Det er ikke logisk at fortsætte enhver form for anti-transparent udvikling i takt med udviklingen af befolkningernes globale uddannelses niveau, der er dem der skal sikre nationernes indtjening i fremtiden.


lbm
lbm's picture
Antal: 813
Tilmeldt:
14-06-2006
User is offline
Der er jo intet nyt i det

Der er jo intet nyt i det her, og kan ramme alle platforme. Sårbarheder findes på alle systemer. At der ikke findes noget betyder som regel ikke der ikke er sårbarheder, men der måske ikke researches så meget i dette område, eller de af en eller anden årsag ikke offentligøres.

Kigger man bare få år tilbage, kan man se at antallet af CVE's er eksploderet, hvilket skyldes der er et kæmpe markede for denne sec-research.

I det her tilfælde, bør man nok mere bekymre sig om, hvor at scriptet er landet på ens server, end hvis de prøver at udnytte en ældgammel sårbarhed.


OracleJMT
OracleJMT's picture
Antal: 378
Tilmeldt:
26-05-2013
User is offline
hvilket skyldes der er et

hvilket skyldes der er et kæmpe markede for denne sec-research.

Nu skimmede jeg en tråd igennem, hvor Linus forklarede, at Dirty Cow havde figureret i kernen siden 2.6, altså for over ti år siden. Han prøvede, at fixe sårbarheden dengang, men indrømmer, at han gjorde jobbet dårligt. Det var først for to år siden, at kernel udviklerne var i stand til, at fixe problemet ordentligt.

Det, at den opstod, men i højere grad, at Linus ikke var i stand til, at fixe Dirty Cow ordentligt, får mig til, at tænke på, hvor sløset kerne-koden er, hvor mange potentielle uopdagede farlige bugs, der findes, som kan udnyttes hver dag.

I OpenBSD går de højt op i, at koden er så simpel, som muligt. Grunden til det er, at jo mere simpel, jo mindre risiko for bugs.

Jeg er klar over, at jo flere funktioner og jo mere hardware, der skal understøttes, jo større risiko, men jeg vil stadigvæk mene, at det er muligt, at skrive koden simpelt, selvom kernen skal understøtte mange ting.

Er de ikke så dygtige, som vi går og tror?

Jeg kan godt tvivle. Se bare på Intels håndtering af Meltdown og Spectre, som nærmest resulterede i katastrofale hacks aka. sloppy kernekode, for, at få rettet de sårbarheder.

Se bare på amatøristiske og farlige forsøg og tilfælde, som Lennart Poetterings legeplads, også kaldet systemd. Hvilken katastrofe rent kodemæssigt den er.

Alt det her, samt dårligere lyd og network stack har været en af årsagerne til, at jeg har brugt FreeBSD i en lang periode. - Jeg er kun vendt tilbage til Linux pga. understøttelsen af ting, som Netflix og Dropbox.

Been around in IT & IT security since 07'
Entered the Nix* world in march 2011
Have tried & used most, if not all systems available, except LFS

I'm platform agnostic, I use what works for me
My favorites are:

Linux: Ubuntu, Slackware, OpenSUSE, Debian, Fedora
Unix: FreeBSD, OpenBSD, Illumos/Openindiana, DragonflyBSD, NetBSD, OSX


mich
mich's picture
Antal: 958
Tilmeldt:
13-10-2007
User is offline
Jeg er klar over, at jo

#13: Jeg er klar over, at jo flere funktioner og jo mere hardware, der skal understøttes, jo større risiko, men jeg vil stadigvæk mene, at det er muligt, at skrive koden simpelt, selvom kernen skal understøtte mange ting.
Det kan jo kun være en opfordring til at holde systemerne modulære, så man kun behøver at installere de funktioner, man behøver på sit system, i stedet for alle tænkelige funktioner til alle tænkelige konfigurationer.

./mich