Un trojan Linux afecteaza sistemele de mulți ani
Last Updated: Jul 06 2016 16:28, Started by
neur0
, Dec 09 2014 16:54
·
0
#1
Posted 09 December 2014 - 16:54
Detalii aici: http://arstechnica.c...tims-for-years/
Se pare că folosește ceva exploituri 0day pentru a escalada privilegiile și ascultă interfețele de rețea până primește un "pachet magic" care-l activează. |
#2
Posted 09 December 2014 - 17:09
El poate sa foloseasca orice exploit, dar de un firewall configurat sanatos nu trece.
|
#3
Posted 09 December 2014 - 17:36
Si din cate stiam, acel
Edited by tom_1133, 09 December 2014 - 17:40. |
#4
Posted 09 December 2014 - 17:37
Exista un mare risc de confuzie datorita titlului topicului, deoarece nu este vorba de un virus, ci de un troian.
Modificat titlul din "Un virus Linux afecteaza sistemele de mulți ani" in "Un trojan Linux afecteaza sistemele de mulți ani". |
#6
Posted 09 December 2014 - 17:49
Researchers at Kaspersky Lab have uncovered a new malware sample designed to target Linux operating systems. The malware has been used by the notorious advanced persistent threat (APT) group called "Turla" (also known as Snake and Uroburos).
The Turla cyber espionage toolkit has been in development for almost ten years, being utilized in numerous operations aimed at organizations across the world. One of the more recent campaigns, dubbed Epic Turla, targeted government organizations, intelligence agencies, educational institutions, embassies, military groups, and research and pharmaceutical companies in over 45 countries. Up until recently, researchers had only seen Turla components designed to target Windows operating systems in the wild. However, on Monday, Kaspersky Lab reported uncovering two samples that target Linux. Researchers believe one of the samples, detected as HEUR:Backdoor.Linux.Turla.gen, might have been active for years on a target's website, but currently, there is no sufficient evidence to back up this theory. Detalii suplimentare: http://www.securityw...s-linux-systems http://securelist.co...enquin-turla-2/ Iata si o incercare de concluzie: Yes, This Trojan Infects Linux. No, It’s Not The Tuxpocalypse |
#7
Posted 09 December 2014 - 19:57
#8
Posted 11 December 2014 - 04:21
Intrebarea este astia de la Kaspersky ce is tot asa de saraci in detalii?
Cum putem verifica daca suntem infectati? Pana acum s-au gasit 2 sisteme. Hmmmm multe intrebari fara raspuns. Cel mai interesant lucru mi s-a parut faptul ca trojanul nu apare nici la "netstat", insa e normal avand in vedere ca lucreaza ca un packet sniffer si nu functioneaza in mod server full time. Dupa ce primeste o anumita secventa de cod pe oricare port si dupa ce isi da seama ca a primit comanda abia atunci se activeaza. Oricum foarte interesant facut. |
#9
Posted 12 December 2014 - 09:53
RasPi, on 11 decembrie 2014 - 04:21, said:
Cum putem verifica daca suntem infectati? ionice -c 3 nice -n 19 grep -R -e 'TREX_PID=%u' -e 'Sistemul nu e infectat' / RasPi, on 11 decembrie 2014 - 04:21, said:
Cel mai interesant lucru mi s-a parut faptul ca trojanul nu apare nici la "netstat", insa e normal avand in vedere ca lucreaza ca un packet sniffer si nu functioneaza in mod server full time. Dupa ce primeste o anumita secventa de cod pe oricare port si dupa ce isi da seama ca a primit comanda abia atunci se activeaza. Oricum foarte interesant facut. man pcap: Quote Under Linux: You must be root or the application capturing packets must be installed setuid to root (unless your distribution has a kernel that supports capability bits such as CAP_NET_RAW and code to allow those capability bits to be given to particular accounts and to cause those bits to be set on a user's initial processes when they log in, in which case you must have CAP_NET_RAW in order to capture and CAP_NET_ADMIN to enumerate network devices with, for example, the -D flag). Ca să poată sniffui traficul folosește un exploit în urma căruia primește drepturi de root - cel mai probabil, ori este vorba de un exploit care afectează CAP_NET. În articole se menționează că folosește privilegii normale, ceea ce e ciudat dacă poate sniffui traficul. Nu pare a fi ceva ieșit din comun, interesant ar fi să știm care sunt 0day-urile. lucifer76, on 09 decembrie 2014 - 17:09, said:
El poate sa foloseasca orice exploit, dar de un firewall configurat sanatos nu trece. |
#10
Posted 06 July 2016 - 16:28
aiurea. de parca ar fi nevoie de un troian sa-ti compromita linuxu. daca nu stii ce sa faci cu el tot aia-i.
|
|
Anunturi
Bun venit pe Forumul Softpedia!
▶ 0 user(s) are reading this topic
0 members, 0 guests, 0 anonymous users