Автор Тема: Mеждуплатформен троянец краде пароли в Linux и Mac OS X  (Прочетена 9307 пъти)

d0ni

  • Участник
  • *****
  • Публикации: 183
    • Профил
D0ni помня го. Единственото дистро,  на което вървеше, беше РХ8 и не предизвикваше никакви щети, не успяваше даже да направи много трафик. А да и го закърпиха за по-малко от 24 часа.

Сега проверих за дистрибуциите - освен RedHat, Debian също е бил уязвим. Също и OS X 10.1. А трафик си правеше, и то доста :-)
Активен

go_fire

  • Участник
  • *****
  • Публикации: 5308
  • Distribution: Дебиан Сид
  • Window Manager: ROX-Desktop / е17
  • кашик с гранатомет в танково поделение
    • Профил
    • WWW
Забележката се приема. Аз само по спомени, не съм проверявал.
Активен

В $por4e2 e истината  ;)

***

Aко даваха стипендия за най-глупави, щях да съм човека с най-много Mини Kупъри

***

Reborn since 1998 || 15.09.2007 totally М$ free && conscience clear

gat3way

  • Участник
  • *****
  • Публикации: 6050
  • Relentless troll
    • Профил
    • WWW
Писането на malware си е бизнес в днешно време. В този ред на мисли не е толкова сложно да се напише cross-платформен червей, заразяващ и линукс, само някой да плати масрафа.

Ето една идея:

* Някой съставя списък със секюрити проблеми в разни PHP-базирани OSS уеб приложения (CMS-и, форуми, уеб мейл услуги и т.н.). Проблемите може да са добре известни и пачнати вече, може да разчитат на определена конфигурация (примерно remote fopen), а може и да са zero-day уязвимости открити от хора на които са им платили за да търсят проблеми в кода.
* Някой разработва PoC експлойти за тези проблеми.
* Някой интегрира въпросните PoC експлойти в нещо по-надеждно и многоплатформено (примерно пробва с fopen() да достъпи отдалечения сайт, ако не стане, пробва с curl, ако не стане - пробва с fsockopen и приятели, ако не стане - примерно вика външен браузър с аргумент URL-то и т.н.)
* Някой разработва механизъм за търсене на нови жертви, идеи много - като се почне от сканиране на случайно генерирни адреси и се стигне до автоматизирано търсене в google за индексирани проблемни URL-та
* Злонамерения код трябва да се свали от някъде върху жертвата, с оглед на това да се сговнят усилията на добрите, примерно се използва някаква fast-flux схема където единственият сигурен вариант нещата да се спрат е домейна да бъде suspend-нат по някакъв начин.
* Злонамереният троянец трябва да подсигури системата и да си ескалира правата. Съответно някой трябва да събере колекция от reliable local експлойти за различни платформи.
* След сдобиване с административни привилегии, машината трябва да се backdoor-не по-качествено, да се крият процеси/файлове/сокети и т.н.
* Накрая, трябва да се изкарат пари от цялата работа. Примерно ако заразените машини са част от ботнет, който се отдава или пък се ползва за DDoS атаки, снифене на трафик, разпращане на спам или там както се печелят пари от такова нещо.

Ето значи идея за междуплатформен червей, заразяващ и линукс. Само някой да финансира масрафа, не виждам проблем това да се реализира, изглежда напълно изпълнимо. Сега за да го финансира някой, трябва последната точка да докара достатъчно пари, за да покрие цялата инвестиция и да се излезе на печалба.
Активен

"Knowledge is power" - France is Bacon

dejuren

  • Участник
  • *****
  • Публикации: 1025
  • Distribution: Ubuntu, RedHat
  • Window Manager: lxde KDE4
    • Профил
gat3way, финансирането не е проблем. Обаче след това има няколко подводни камъка:
Първи:
Цитат
примерно пробва с fopen() да достъпи отдалечения сайт, ако не стане, пробва с curl, ако не стане - пробва с fsockopen и приятели, ако не стане - примерно вика външен браузър с аргумент URL-то и т.н.
много работа и много тормоз за този, който го прави. Човека е мързелив (еволюция, кво да правиш), той гледа с малко усилия да постигне повече резултат. Като работи в един вид, няма нужда да се търси под вола теле. Вместо да пробва да открие от пиле мляко нашия мързел се фиксира само върху ХР, 7 и IE.
Втори:
Цитат
Злонамереният троянец трябва да подсигури системата и да си ескалира правата.
Това в линух е значително по-трудно от виндов$. Не приемам контрааргменти: ПО–ТРУДНО Е! Поглежаме подводен камък едно и решаваме, че с такива сложни истории поради мързел няма да се занимаваме. Допълнителен проблем е това кой аджеба линух трябва да се ескалира? RHEL4, 5 или 6 или Дебиан Сид или Скуиз? Или все пак е SLES? Или пък е Слак? Коя версия и кое ядро? Всичко това не e предпоставка за "малко усилия - много резултат".

В общи линии схемата ти ще работи, тя така и работи, но на известната платформа. Просто при толкова по-леки жертви в лицето на виндов$ няма пазар за нея от линух гледна точка. Защото тук идва момента да се тегли чертата и да се прави калкулация. Хващаме работния gat3way, който 3 месеца е писал cross-платформен червей, и някой мързел, дето за седмица е скалъпил нещо на коляно за виндов$. На втората седмица нашият мързел си е намерил друг клиент и е прибрал нови кинти. На 4-тия месец gat3way има проблем със сметката за интернет. Нали се сещаш, че след това gat3way плюе на кросплатформеност от покрива на Емпайър стейт и пише първия си чисто виндов$ бот-нет за седмица, или се отказва от компютри и става таксиджия?

Тук има и друга гледна точка: ако линух и виндов$ в тези две точки си приличаха. Говоря в смисъл виндов$ да беше същата галимация за повишаване на привилегии и достъпване до системата. Тогава би било времето на кросплатформени червеи. Защото като няма риба и ракът е риба. Ако същите усилия се полагат за пробиване на виндов$ то линух атаките биха били много по-разпространени. Но... настоящето показва, че не е така. Къде къде по-лесно е бот-нет на виндов$ и кеша в джоба отколкото Сизифов труд за тоя дето духа.
Активен

http://webchat.freenode.net/?channels=ubuntu-bg
The quieter you become, the more you are able to hear.
Две седмици цъкане с мишката спестяват два часа четене на документацията.

gat3way

  • Участник
  • *****
  • Публикации: 6050
  • Relentless troll
    • Профил
    • WWW
Финансирането може и да не е проблем, но трябва да излезеш на печалба от цялата работа. Сега факт е че цялата екосистема около линукс е по-богата, има повече дистрибуции, билдове, конфигурации, но също така нямаме равномерно разпределение, т.е винаги имаме няколко варианта, които се срещат с далеч по-голяма вероятност. Примерно едно уеб приложение се хоства с доста по-голяма вероятност примерно върху centos с тази и тази версия на RPM пакетите срещу примерно някаква екзотична развидност на gentoo. И пак опираме до евентуалната печалба. Ако отделя X ресурси за разработката на малуера, мога да заразя примерно 1000 машини с линукс, срещу да речем 95000 машини с уиндоус. Самият факт, че уиндоус е близо 95 пъти по-разпространена ОС от линукс означава чисто и просто че за същите пари вложени за това, печалбата ще ми е 95 пъти по-висока ако пиша малуер за уиндоус. Това е доста силен фактор според мен. А иначе уиндоуският малуер е стигнал висини в комплексността и фокусите, които се правят. Въобще не става въпрос за това аз или някой друг бай Хуй да седнем и да напишем следващият Zeus. За примерите където малуера се разработва от трибуквените агенции (от сорта на stuxnet) въобще не говорим. Апропо, бях чел анализ на stuxnet преди време, беше потресаващо четиво според мен.
« Последна редакция: Aug 29, 2012, 04:12 от gat3way »
Активен

"Knowledge is power" - France is Bacon

go_fire

  • Участник
  • *****
  • Публикации: 5308
  • Distribution: Дебиан Сид
  • Window Manager: ROX-Desktop / е17
  • кашик с гранатомет в танково поделение
    • Профил
    • WWW
Гейт много пъти съм чел твоите разсъждения, че разнообразието ни пази.


Offtopic
В тая връзка от поне две години се каня да те питам, как с acl се дават права за изпълнение. Защото многократно си казвал, че трябва да замени sudo. Но в man откривам само как да дам права за четене/запис. Търсейки в Интернет съм намирал други man претендиращи да са за ГНУ/Линукс, в които пише съвсем други работи и тия работи при мен (Debian stable/testing) не работят. Намирал съм обяснения за много други *nix, в които работи. Та как става в ГНУ/Линукс? Иначе няма как да замени sudo/ su -c.


Схемата е файска (не че разбрах дори половината), но капитализирането ѝ ми се вижда нелогично. Да за популярната ОС едно стадо зомбита е добре. В крайна сметка, какво да му вземе? Порното? С късмет, може да си е написал номера на кредитната карта в някой документ, но при днешните дискове е, търсене на игла в купа сено.

От друга страна, това което предлагаш да заразяваме при ГНУ/Линукс са сървъри. Тук имаме 10 или 100 пъти по-малко машини, но със 100 или 1 000 пъти по-ценна информация на тях самите. Възможностите за печалба са доста разнообразни и много по-доходоносни.

Я си представи отиваш при конкурента му и казваш „имам dump на цялата му база данни, включително клиентите им, барабар с адреси и телефони“. А това си го получил с автоматизирана атака (вирус), а не седмици бъхтене да откриеш пролука.

Ами освен тоя сървър дето си свалил, най-вероятно в мрежата има и други, ако не е някое ЕТ/ЕООД. И те най-вероятно са във верига за доверие или дори с еднакви пароли (пу,пу опази от таквизи админи). От тях могат да се преточат още неща. Например кореспонденция, а пощата може да е дори на сървъра, който твоя вирус вече е ударил.

И така. Може машините да са много по-малко, но много по-ценни. Инвестиция би се избила с огромна печалба. Тъй че аз продължавам да седя на тезата, която оборваш.

Двете ОС не са еднакво защитени по подразбиране. Показва го и Дежурен. А отделно на това, сървърите си имат и зачислен администратор (истински, не като мен чел-недочел).
Активен

В $por4e2 e истината  ;)

***

Aко даваха стипендия за най-глупави, щях да съм човека с най-много Mини Kупъри

***

Reborn since 1998 || 15.09.2007 totally М$ free && conscience clear

danaildr

  • Гост
Аз като се замисля, колко голям ще да стане тоя вирус , то толкоз работа ще се хвърли по него ... ако е под мегабайт пак добре ще да е.
Тука програмистите да кажат толкова много неща в колко голям файл ще го набъкат. После, то за да е вирус трябва да се саморепродуцира и разпространява, то ако е 1 мегабайт тоя вирус, за да зарази 1000 нови потребителя, ще направи още 1000 мегабайта трафик .... това си е почти гигабайт, в развитите страни интернет достъпа не е от най-високоскоростните (все пак 6мегабита били идеална скорост ако не си пират, а там пирати нямало, спорд наще журналя). И накрая като сложим чертата, от тоя вирус ще имаш заразени някакви си хорица от развиващите се страни, пирати разни, дето така или иначе през ден два си сменят ОС-а, и файда никаква, а пък толкова голям файл според мен ще го засекат бързо и ще пуснат някоя "кръпка" да го оправи набързо, и после ще трябва да се упдейтва и вируса.
Активен

danaildr

  • Гост
Гоше това за еднаквите пароли си е доста често срещано явление .... а пък паролите от 1 до 6 или даже от 1 до 3 са ...... нямам думи просто
Активен

go_fire

  • Участник
  • *****
  • Публикации: 5308
  • Distribution: Дебиан Сид
  • Window Manager: ROX-Desktop / е17
  • кашик с гранатомет в танково поделение
    • Профил
    • WWW
Ами Дидко тоя последния ирански вирус (не Stuxnet, а този преди няколко месеца) казаха по ЬТВ, че бил даже над мегабайт и не бил засечен две години, засекли го, като излязъл от Иран.

Аз какъв късмет, един път да взема да гледам телевизия, а те да ми говорят за вируси и марсоходи. Знам си аз, че от ТВ полза няма. А да и новина. Вече наричат наличната книга „социалната мрежа“ или „социалните мрежи“, като когато говорят за второто нямат предвид плюсове, твитери и не знам си какво, а пак първото.
Активен

В $por4e2 e истината  ;)

***

Aко даваха стипендия за най-глупави, щях да съм човека с най-много Mини Kупъри

***

Reborn since 1998 || 15.09.2007 totally М$ free && conscience clear

danaildr

  • Гост
Първо, нали наистина не им вярваш на ьТВ?
Второ, ами нормално е една компания за антивирусен софтуер да засече вируса когато той влезе е екосистема с нейни компютри, защото ако той си е в една затворена екосистема и поразява само компютрите на иранската ядрена програма, да не зарази компютър с касперски например. Но това не значи, че иранците не са го пипнали тоя вирус преди господата от касперски, това че си мълчат не значи че не знаят.
Активен

v_badev

  • Участник
  • *****
  • Публикации: 1355
    • Профил
То преди време имаше един троянец за Windows, който освен че беше няколко мегабайта, ползваше и .NET. След като зарази компютъра проверяваше дали има инсталиран фреймуорка и ако няма сам го изтегляше и инсталираше (тогава беше около 25MB). В наше време един мегабайт нищо не е. А и трябва да си написал адски много код, за да ти стане толкова голям изпълнимият файл. Нещо, което само проверява дали са налични разни експлойти и евентуално ги ползва може да е много по-малко.
Активен

danaildr

  • Гост
да де ама нали ще е за всички платформи тоя вирус, ако един файл ще заразява всички платформи ..... бая големичък ще трябва да е, а ако го постигне някой, това ще е революция, ще вземат всички програмисти да ползват неговите методи та програмите им да работят под всички ОС
Активен

gat3way

  • Участник
  • *****
  • Публикации: 6050
  • Relentless troll
    • Профил
    • WWW
Не виждам какво значение има колко е голям вируса. Това е имало значение в ерата на файловите вируси, когато вирусния код се е лепял към изпълнимите файлове и съответно поне докато вирусите не са се научили да hook-ват системните функции, за да крият "истинската" големина на файла, тривиално заразените файлове са разкривани благодарение на разликата в големината. Никой не е казал, че вирусът трябва да заразява изпълними файлове. Във времената на BBS-ите това е имало смисъл. Сега това би било по-скоро недостатък, защото ще позволи по-лесното разкриване на вируса. Защо трябва вируса да заразява изпълними файлове? Дори не виждам причина малуера да се саморепродуцира, след като си имаме интернет и не е толкова сложно "заразата" да става по други канали. Примерно със злонамерени сайтове сервиращи браузърни експлойти. Разпращаш тонове спам с връзка към сайта, все ще се намерят балъци. Алтернативно може да се действа и по-грубо - чрез persistent XSS уязвимости в по-известни сайтове, които сервират това в скрит iframe, ето ти пак идея. Някои хора бяха открили малоумна CSRF уязвимост в разни домашни рутери, където можеше да се подменят DNS сървърите, които раздава рутера, съответно имаше няколкостотин изгърмели клиенти на някаква мексиканска банка, които се били логнали във фалшив сайт на банката, към който сочил злия фалшив DNS сървър. Идеи колкото искаш.

Ето един друг пример - искам да пиша малуер за линукс. Малуерът по някакъв начин се сдобива с неадминистративен достъп на машината (примерно attack vector-а е злонамерен браузърен експлойт и потребителя бива примамен да отвори злонамерения сайт). Кой точно изпълним файл ще "заразя" ? Всичко в /bin и /usr/bin е root-writable, но моите права не позволяват да ги презаписвам. Няма ли да е далеч по-лесно да направя нещо друго - примерно да създам нещо съвсем невинно изглеждащо в някоя поддиректория на home директорията, примерно в ~/.dbus или ~/.mozilla, после примерно да си сложа в crontab-а това да се вика периодично? Или пък просто да модифицирам ~/.bashrc за да се изпълнява еднократно когато потребителят се логва? И моят злонамерен код няма да прави кой знае какво - просто ще се свързва с botmaster сървъра, ще взема списък с команди, които трябва да изпълни, ще ги изпълни и ще излезе. Ако няма "заповеди", злият код ще се изпълнява за милисекунди и няма да създава съмнения. Няма да се виждат странни процеси, няма да има модифицирани файлове, няма да има на пръв поглед нищо съмнително. В това състояние машината може да си работи месеци, че и години наред докато botmaster-ския сървър не реши че трябва да се прави нещо грубо (примерно пращане на масов спам или DoS атака). Да не говорим че през това време, злонамерения код може да получи нареждания да смъква и изпълнява експлойти, за да си ескалира привилегиите, съответно да инсталира по-advanced rootkit-ове, за да се подсигури машината по-добре. Пак казвам, идеи колкото искаш :)

Активен

"Knowledge is power" - France is Bacon

crystalwater

  • Участник
  • *****
  • Публикации: 147
  • Distribution: Linux Mint Maya
  • Window Manager: KDE
    • Профил
А защо никой не го прави?
Активен

shoshon

  • Участник
  • *****
  • Публикации: 497
    • Профил
Цитат
А защо никой не го прави?

Аз на домашното си PC имам бозичка от 3 години, на която има само firefox и също нямам вируси.

Обаче:
Skidrow
Razor1011
Reloaded

...

Те искат това да се промени... Аз няма да им се дам :) Ако има толкова масов продукт за Линукс, който да има нужда от пачване, тогава "малииии"
« Последна редакция: Aug 30, 2012, 12:32 от shoshon »
Активен