Исследователи из Лаборатории Касперского выявили версию вымогательского вредоносного ПО RansomEXX для Linux. Изначально RansomEXX распространялся только на платформе Windows и стал известен, благодаря нескольким крупным инцидентам с поражением систем различных госучреждений и компаний, включая Департамент транспорта штата Техас и компанию Konica Minolta...Подробнее: https://www.opennet.dev/opennews/art.shtml?num=54045
так это не вирус, это троян
Все верно. Вручную установить можно почти все что угодно.
Однострочник на перле это троян?
таки да. что вас смущает?
Начнём с того что вирусы есть везде, просто распространение их под разные ОС очень разнится, на винду которая даже не ломается ... а сразу снимает с себя всё ... они распространены больше.По поводу GNU/Linux, его можно из коробки собрать так что никто и никогда ничего зловредного не запустит и все эти ваши шифровальщики и т.п. говно просто работать не сможет. Но для этого нужны прямые руки. Которые в большинстве случаев у НОРМАЛЬНЫХ Админов есть. Но этого нет у админов локал хостов которые ничего не знают ни о том как устроена их система ни о том что такое "сисюрность"...
Теперь по поводу троянов и т.п.
Как вы верно заметили лучшая защита у тех систем которые не включают =). А так если будет система без интернета но к которой имеется доступ уже автоматически становится уязвимой. Надеюсь почему это пояснять не нужно.
А вот трояны же работают и без ПК, история показывает это хорошо, эффективность их тоже достойная. Социальная инженерия - тоже отличный способ взлома... спокойно что угодно могут вытащить и отдать в "добрые руки" дяди Сэма ))
Ну а если пользюк под GNU/Linux не знает что он делает и ставит всё что угодно откуда угодно да ещё и под рутом и в общем с уверенностью стреляет себе в ногу, тут GNU/Linux ничем не поможет. с тем же самым успехом он может сделать sudo rm -rf /
скинь ссылку на свою историю болезни ... ну то есть методичку
Всё мифического дядю Сэма пугаетесь? Не того вы пугаетесь.
Какой идиот тебе это сказал? Дай угадаю: сам придумал.
Почитай комментарии к этой новости. В фантазиях фантиков такое есть.
В реальности же... половина линуксовых инстансов без секурных апдейтов (статистика позитивщиков).
> Какой идиот тебе это сказал? Дай угадаю: сам придумал.Ведь непонятно, что это стеб?
>его можно из коробки собрать>система без интернета но к которой имеется доступ уже автоматически становится уязвимой>ничего не знаютвсе уязвимости нашли в системах обеспечения >сисюрность> от >дяди Сэма>? единственная возможность обеспечить безопасность это контрразведка и опережение, так что не надо оскорблять >пользюков>
Небольшой вопрос - обычный пользователь должен разбираться в том как работает устройство с установленной системой?
на своём уровне, который позволяющем ему относительно комфортно взаимодействовать с системой
но тут дело в том что вышеупомянутый вирус в основном нацелен на "корпоративные серверные системы" а там свои законы работы с системой
админу особенно надо комфортно взаимодействовать, ибо масштабы ответственности влекут досадные забывки и тяпляпы, но элитарная избранность не позволяет их замечать, а юзаку позволяет, так и происходит ротация аппарата, если привычные отмазки "хакерская атака", "диверсия", "температурный режим серверной" тупо заканчиваются.
Обычный пользователь должен только самому себе. И ему решать нужна ему дефолтная секурность или изучить таки SELinux или что там у вас и стать суперсекурным аж ваще. Тут ни вы не должны ни вам никто ничего не должен.
> тем же самым успехом он может сделать sudo rm -rf /вообще-то уже почти лет 10 назад сделали, что не может, теперь это будет работать только каким-то флагом типа "--da-ya-debil"
> на винду которая даже не ломается ... а сразу снимает с себя всё ... они распространены больше.Можно примеры такого привести?
> Но этого нет у админов локал хостов
У админов локалъостов как раз всё нормально. Ибо они постоянно петрушатся со своей системой (а что им ещё делать?).
А вот если какой хорошо разбирающийся человек сделал мини интерактивный сайт с форумом для мини (не IT компании) и убежал, то это конечно всё стухнет и покроется дыренями.
> Можно примеры такого привести?Посмотри сколько вирусов под винду и сколько под другие ОС, просто сопоставь их количество. У кого будет в десятки или даже в сотни раз больше ?
>У админов локалъостов как раз всё нормально. Ибо они постоянно петрушатся со своей системой (а что им ещё делать?).
Сказки, многие даже не понимают что и как и оставляют слабые пароли или топ 100 из радужных таблиц...
>А вот если какой хорошо разбирающийся человек сделал мини интерактивный сайт с форумом для мини (не IT компании) и убежал, то это конечно всё стухнет и покроется дыренями.
О, это прям про меня ))) По факту стухнуть может всё что угодно, только вопрос в том что и как было реализовано, сайт можно закрыть так что даже если они получат доступ к нему то выше мнимого / так просто не уйдут .. Но это конечно зависит от прямых рук и того насколько нужна взломщикам эта не IT компания... так как взлом будет стоить многих ресурсов, которые целесообразно тратить на других...
> Посмотри сколько вирусов под винду и сколько под другие ОСА это причём тут? Windows просто самая популярная ОС общего назначения.
Вот и всё. Если пользователь, отмахиваясь от сообщений "это неподписанная ерунда, скачанная с помойного сайта требует админских прав" орёт на ОС "отстань от меня! я тут хозяин! мне сказали, что надо поставить это, что бы видео заигралось / открылся паспорт на печку".А так на том же Android (ограниченное под самые помидоры с печочницами) тоже ерунды хватает.
Как и те же шифровальщики на кучи сайтах. Или там IoT устройства без секурных апдейтов - привет сетевые черви.Зоопарк или ограниченность спасает, а не какое-то волшебство. И то весьма так себе. Так что эти сказки можешь не рассказывать.
> многие даже не понимают что и как и оставляют слабые пароли или топ 100 из радужных таблиц...И? Как "админ локахоста" с простым паролем сказать могу. И?
Система локалхостная.
Кто-то ещё пишет именно вирусы? В классическом понимании, т.е. когда код внедряется в исполнимый файл.
Пишут, есть хороший пример с центрифугами...Всё зависит от того какие цели поставлены и какие ресурсы на них тратятся...
Но нет программ для людей.
Так напишите.
Первый в истории вирус-червь был написан как раз таки под линукс
У вас какая-то альтернативная история. В нашей червь Морриса обогнал Linux на три года.
> Первый в истории вирус-червь был написан как раз таки под линуксИ раньше писались. Атаки обычно идут на Сервера. Ибо Desktop'ы User'ов никого не интересуют. Сейчас популярность Linux'а растёт - и ради этого будут писать 'Сборщик Вирусов под Linux 3000.deb' (очевидно, для Ubuntu). Чтоб каждый смог собрать своего 'монстра'.
Да, некоторые 'АнтиВирусы' обожают выкладывать 'популярные' Вирусы под Linux. Хотя на самом деле их никто не встречает.
> Атаки обычно идут на Сервера. Ибо Desktop'ы User'ов никого не интересуют.Во-первых - "серверы", во-вторых - как раз ПК представляют наибольший интерес как точки проникновения и цели для направленных или персонифицированных атак т.к. а) содержат интересные данные, б) почти не админятся, в) на них выполняются опасные программы (браузер, почтовик), г) имеют доступ во внутренние сети, д) регулярно контактируют с внешними устройствами...
> А) Содержат интересные данные.Фоточки, Видео с Котиками и 18+ Контент?
> Д) Регулярно контактируют с внешними устройствами.
Любое устройство 'Внешнее', если оно расширяет функциональные возможности устройства.
> В) на них выполняются опасные программы (браузер, почтовик).
А какие программы не 'опасные'? Для тех, у кого нет постоянного подключения к сети?
А) Бухгалтерские документы. Ключи от клиент-банков (да, не у всех еще токены). Рабочие документы любого другого рода (чертежи, отчеты, sensetive-информация). Иногда базы данных специфического софта.
Сразу видно админа локалхоста который работы с юзерами не видел в глаза.
> Сразу видно админа локалхоста который работы с юзерами не видел в глаза.Очевидно да. Никогда подобного не приходило в Голову.
Ага, учитывая, что Linux тогда ещё не родился.
Ну и с какими библиотеками его собрать?
Оно точно соберется на моём bleeding-edge toolchain?
А право -х ему самостоятельно выдать или он научился чмодаться?
А как смотивировать запустить его меня, человека продвинутого даже на домашнем линуксе?
Когда пакет с цифровой подписью TrustedMainteiner из репозтитория, ведь ничего другого на критичных файлохранилищах не ставится?
А если данные хранятся под одним пользователем, а операторы делают maintenance под другим с прозрачным получением прав только для доверенных процессов?
========
Принципиальная разица между вирусами в винде и лине - в винде вирус может запустится сам и нужно запариваться белыми списками group policy, чтобы ничто из %appdata% не прошло, а в лине нужно конкретно потрахаться, чтобы запустить.
=========
Короче, слишком много ССЗБ. Как было пару лет назад с "Linux.Encoder.2"
http://bit.samag.ru/news/more/1493
И рефреном "...ну хоть кто-нибудь, ну купити наш отневирос! Мы вам даже цельных джва страшных скрипта принесли! Бууууууу!".Низач0т, кошмарский. Видно действительно дела идут у тебя плохо, если такой днищепиар идет.
Я так понимаю это нужно для получения профита от наличия уже взломанных серверов.
А почта тети Любы из бухгалтерии или конфиги system.d хакирам не особо то и нужны.
> Принципиальная разица между вирусами в винде и лине - в винде вирус может запустится сам и нужно запариваться белыми списками group policy, чтобы ничто из %appdata% не прошло, а в лине нужно конкретно потрахаться, чтобы запустить.Ложь. Принципы те же.
Те же уязвимости в превьюшках файлов можно вспомнить, уязвимости в сервисах (та же SAMBA с тем же аналогом вендовых Петь)
И так далее...
> в лине нужно конкретно потрахаться, чтобы запустить.Вот у примеру наглядная демонстрация, как надо это самое... 😉
https://www.youtube.com/watch?v=WKwRijjqdzYТяжело, да?
Не все линуксы одинаковы. Не на всех линуксах любой <оскорбление зацензурировано> может сказать и запустить бинарник. В таких системах защиты от социальной инженерии точно ноль.
Кажется я погорячился, в принципе в любом дистрибутиве можно сделать /home и /tmp как noexec для юзера.
клаустрофобы/артисты выберутся откуда угодно, например /lib64/ld-linux-x86-64.so, если задаваться такой целью, просто потому что вахтеры закрутили гайки и нет удобных минималистических безопасных инструментов.
> клаустрофобы/артисты выберутся откуда угодно, например /lib64/ld-linux-x86-64.so,
$ mount -v /tmp
mount: tmpfs: Operation not permitted
tmpfs on /tmp (tmpfs, local, noexec, nosuid)$ ./a.out
1
/libexec/ld-elf.so.1 a.out
1
cp a.out /tmp
$ /tmp/a.out
sh: /tmp/a.out: Permission denied
$ /libexec/ld-elf.so.1 a.out
ld-elf.so.1: a.out: mmap of data failed: Permission denied
Это конечно не пингвничик, но там будет примерно так же. Причем уже кучу лет как.
будем ждать регрессии. можно ещё zipapp.py проверить?
> можно ещё zipapp.py проверить?В честь 7 ноября - так и быть, проверяйте, разрешаю!
> tmpfs on /tmp (tmpfs, local, noexec, nosuid)
> $ /tmp/a.out
> sh: /tmp/a.out: Permission deniedа теперь повторите то же самое с sh-скриптом. заранее спасибо.
>> tmpfs on /tmp (tmpfs, local, noexec, nosuid)
>> $ /tmp/a.out
>> sh: /tmp/a.out: Permission denied
> а теперь повторите то же самое с sh-скриптом. заранее спасибо.
cat tst.sh && ./tst.sh
#!/bin/sh
echo 1
1
$ cp tst.sh /tmp/ && /tmp/tst.sh
sh: /tmp/tst.sh: Permission denied
$ perms /tmp/tst.sh
0751 rwx r-x --x (...) /tmp/tst.sh
...
$ cat /tmp/tst.sh && /tmp/tst.sh
#!/usr/bin/env sh
echo 1
sh: /tmp/tst.sh: Permission deniedНеужто в пингвинчике опять "более прогрессивная и молодежно-незамшелая, самая передовая" реализация? /*начинает догадываться*/
срезал ! но не там.
elogind (замена sysytemd-logind) создает в tmpfs и монтирует /run/user/$UID (замена /tmp с sticky bit) без noexec. настроить невозможно, hard-coded.
Сколько людей повелось на этот тролл, забавно.
Процент адекватности красно.. зашкаливает )))
Методичка из ФИДО, что ли?
>Во всех методичка написано, что под Linux вирусов не бываетНе знаю, что там в ваших методичках написано, но это червь, раз оно проникает через уязвимости.
Можно ли её «прибить» через Ctrl-Alt-F1, как например xscreensaver, который заблокировал экран и просит пароль?с поддержкой wayland или без?
В ауре есть?
ждём ебилдов.
Её "прибитие" явно не главная задача, которая встанет перед администратором зараженной системы
Очень тооолсто
Как его запустить???
sudo ./RansomEXX
sudo не нужно, ведь юзерские документы под юзером хранятся.
Таки да. Для того, чтобы зашифровать файлы в /home, достаточно прав обычного пользователя. Поэтому аналогичные сабжу вирусы для венды прекрасно работают через Wine, например.
У wine нет доступа к внешним файлам.
корень по умолчанию монтируется как Z:, а дальше — насколько прав хватит
> юзерские документы под юзеромПод юзером на сервере Linux ничего не хранится. Практически пустая папка. Успехов в изучении Windows.
> Под юзером на сервере Linux ничего не хранится.юзер на сервере -- это наверно ты про root ?
Ураааа! Ну хоть кому-то польза от mbedtls!
Узнаю Касперски-стайл: как обычно пытаются всех застращать без каких-либо подробностей.
Вообще они иногда подробные статьи с анализом малвары пишут на https://securelist.ru/
А зачем они его портировали?
юзеры жалобами достали: почему всегда только под винду, а где нам?
Как это организовано-то? По принципу ecryptfs - типа прослойки fuse над реальной ФС? Затем потихоньку шифровать файлы на реальной фс, но давать пользователю оригинальные файлы. Ну это же легко заметить.
Все новое - хорошо забытое старое: https://ru.wikipedia.org/wiki/OneHalf
Пожалуйста не путайте кусок дерьма из топика с божественным OneHalf. По его коду курс можно было читать на профильных факультетах.
Я в нем штук шесть багов дизассемблируя его в свое время нашел. Так что для профильного факультета слабовато.
Нет, это не то, это типа шифрование на уровне блочного устройства dm-crypt/lukefs. Тогда как в топике речь про шифрование на уровне файловой системы. Судя по описанию очень похоже на https://en.wikipedia.org/wiki/EncFS.
> Как это организовано-то? По принципу ecryptfs - типа прослойки fuse над реальной ФС? Затем потихоньку шифровать файлы на реальной фс, но давать пользователю оригинальные файлы.Зачем такие сложности? Если бы мне приспичило пошифровать файлы супротив желания пользователя, я бы пошёл иным путём. Задача не сделать эту хрень неотразимой, задача пошифровать как можно больше, пока тупящий пользователь сообразит, что происходит. Шифровать быстрее, чем может система не получится, а вот тупняки пользователя можно продлить, во-первых, убрав самые неотразимые признаки малварей, то есть не палиться без надобности раньше времени, во-вторых, затормозив ему интерфейс, чтобы любая операция, вплоть до alt-tab, занимала бы заметное время, в-третьих, добавив максимум посторонней информации, которая будет требовать обдумывания, в-четвёртых, прикрыться от максимального количества способов остановить процесс.
И да, что-нибудь в стиле контролируемого взрыва fork-bomb, возможно, сработало бы. Реально шифрованием может заниматься 1-2 процесса, остальные могут тупо отжирать процессорное время и выедать память. Хотя если выесть память своп начнёт греться, а нам нужна вся производительность жёсткого диска отправленная в шифрование. То есть как всё это дело затормозить надо подумать. Но в принципе, если на каждое ядро запустить по десятку процессов, которые будут жрать процессорные такты как не в себя, то гуй начнёт тормозить. Чтобы пользователь тупил бы подольше, можно сообщить ему, что в процессе работы updatedb был обнаружен дефект файловой системы, и теперь невозможно синхронизировать дисковый кеш с диском без риска полного разрушения фс, поэтому systemd-fsckd сейчас фиксит ошибки на диске. От особо умных, типа тебя, надо защитится отключив Ctrl-Alt-Fn через setxkbmap. Кстати, можно нарисовать ему фейковую ядерную консоль, и в ней запустить себя же в режиме шелла: реально такого можно занять надолго, и даже когда он психанёт и сделает куищще, мы можем изобразить ему процесс завершения системы, чтобы тот ждал бы с замиранием сердца, когда отмонтируются локальные системы, дождался бы, выдохнул и пошёл за валерьянкой, а мы бы продолжали тем временем шифровать.
Ну и наконец, можно подумать не пять минут, прежде чем писать такую штуку, а пару дней, нагенерить побольше идей и хорошенько их обдумать. Может быть ведь и не надо фонтанировать идеями, может лучше подождать, когда пользователь отойдёт от монитора, и тогда начинать шифровать?
> Ну это же легко заметить.
Легко заметить когда ищешь. Когда же ты не ждёшь подвоха, то, если ты не профессиональный паранойик, у тебя уйдёт несколько десятков секунд, прежде чем паранойя схватит тебя за яйца конкретно. А за несколько десятков секунд вполне возможно что удастся зашифровать тебе что-нибудь, за что ты заплатишь денег.
> пока тупящий пользователь сообразит, что происходит.Это всё замечательно, но не про сабж.
За линуксом пользователь не сидит.
> За линуксом пользователь не сидит.А что он делает за линуксом? Стоит? Лежит? Танцы танцует?
> systemd-fsckd сейчас фиксит ошибки на дискеупс. на управляемых мной системах нет системд. тщательней надо.
Надо или не надо определяется не столько тем, что у тебя есть, а сколько тем, насколько мне нужен именно ты. systemd есть у подавляющего большинства, и поэтому самый простой способ -- забить на всех остальных, и ориентироваться на systemd.Кстати с другой стороны, откуда ты знаешь, что у тебя есть, а что нет? Ты ведь полагаешься на пакетный манагер? Ты всегда внимательно перечитываешь список пакетов, которые он ставит/обновляет? Не важно, что у тебя стоит, важно во что тебя можно заставить поверить, хотя бы на 10 секунд. Или даже, не так: какие утверждения малвари ты не сможешь записать в однозначно и неустранимо ложные моментально. Если тебе потребуется даже 10 секунд на то, чтобы проверить в голове все варианты, и доказать себе, что никакого systemd-fsckd у тебя нет и ни при каких раскладах быть не может, то это уже неплохо -- это ещё 10 секунд когнитивной нагрузки, отдаляющей тебя от конструктивных действий, типа нажатия на ресет на системном блоке.
> Кстати с другой стороны, откуда ты знаешь, что у тебя есть, а что нет?хороший вопрос ! на р.станции после обновлений с перезагрузкой я смотрю ps -auxwww | less -S вручную, иногда после startx смотрю (X запускаю вручную). и сейчас понял что слишком редко смотрю lsmod. надо бы сочинить на это скрипт-автомат или найти готовую приблуду, диффы слать себе на локальный e-mail.
> Ты ведь полагаешься на пакетный манагер?
да. у меня нет выбора.
> Ты всегда внимательно перечитываешь список пакетов, которые он ставит/обновляет?
да. кстати заход с подделкой пакетов не светит - в используемые мной репозитории ты свое поделие просто так не пропихнешь (в отличие от всяких там npm, см. комменты ниже).
> да. кстати заход с подделкой пакетов не светит - в используемые мной
> репозитории ты свое поделие просто так не пропихнешь (в отличие от
> всяких там npm, см. комменты ниже).Чувак, ты мне нафиг не нужен, я ничего не собираюсь тебе пропихивать. Но если ты кому-нибудь понадобишься, то удастся ли им впихнуть тебе что-нибудь или нет, будет определяться тем, насколько ты им будешь нужен.
> сейчас понял что слишком редко смотрю lsmod. надо бы
> сочинить на это скрипт-автомат или найти готовую приблуду, диффы слать себе
> на локальный e-mail.Надёжнее запретить загрузку модулей. Если модуль загрузился в ядро, наверняка он себя скроет.
> в-четвёртых, прикрыться
> от максимального количества способов остановить процесс.
> И да, что-нибудь в стиле контролируемого взрыва fork-bomb, возможно, сработало бы.Ого. "Возможно". Ключевое слово. И эти люди читали нотации о скрытии тела "руткита" Drovorub. В его описании ведь было написано как "прикрыться" (правда, реализация кривая, но не настолько скрипт-киддисная, как предлагается).
Можно скрываться, можно нет. Тут речи не идёт о рутките, которому реально надо скрываться и чем дольше, тем лучше. Тут идёт речь о шифровальщике файлов. Тому имеет смысл скрываться ровно до того момента, как все файлы зашифрованы.Возможны разные стратегии, и разные стратегии хороши тем, что стандартные способы реагирования перестают работать.
> реализация кривая, но не настолько скрипт-киддисная, как предлагается
Настоящего кулхацкера вижу в тебе я. О, настоящий кулхацкер, "скрипт-киддисность" реализации никому не интересна кроме настоящих кулхацкеров, всем остальным интересен результат.
> всем остальным интересен результат.Все знают: когда автор пишет "возможно, сработало бы", он недвусмысленно гарантирует отсутствие результата.
>> всем остальным интересен результат.
> Все знают: когда автор пишет "возможно, сработало бы", он недвусмысленно гарантирует отсутствие
> результата.А, ты об этом. Но я ж и не скрывал того, что это просто поток сознания, и даже приписал под этим потоком сознания следующее:
> Ну и наконец, можно подумать не пять минут, прежде чем писать такую штуку, а пару дней, нагенерить побольше идей и хорошенько их обдумать. Может быть ведь и не надо фонтанировать идеями, может лучше подождать, когда пользователь отойдёт от монитора, и тогда начинать шифровать?
Я не ставил перед собой задачу дать техническое описание способа достижения результата, я хотел лишь продемонстрировать человеку, что самоуверенность в вопросах безопасности до добра не доводит: как только ты начинаешь верить в свою неуязвимость, так сразу ты становишься уязвим.
>>> всем остальным интересен результат.
>> Все знают: когда автор пишет "возможно, сработало бы", он недвусмысленно гарантирует отсутствие
>> результата.
> А, ты об этом. Но я ж и не скрывал того, что
> это просто поток сознанияДа, не скрывал. Эта способность дать понять читателю границы компетенции и выделяет качественно твои комментарии из массы здешних "экспертов". Автор честен с собой и потому мнение, возможно ошибочное, заслуживает внимания. Но это сейчас, а в случае "руткита" (более сложного технически) было немного иначе.
Кстати, мой выпад про драйвер парируется очень просто: шифровальщик работает без привилегий. И всё, я слился и тихонько плакаю в уголке.)
> самоуверенность в вопросах безопасности
> до добра не доводит: как только ты начинаешь верить в свою
> неуязвимость, так сразу ты становишься уязвим.Это правило работает в обе стороны. Drovorub думает что спрятался, а вместо этого систему уронил.
>>>> всем остальным интересен результат.
>>> Все знают: когда автор пишет "возможно, сработало бы", он недвусмысленно гарантирует отсутствие
>>> результата.
>> А, ты об этом. Но я ж и не скрывал того, что
>> это просто поток сознания
> Да, не скрывал. Эта способность дать понять читателю границы компетенции и выделяет
> качественно твои комментарии из массы здешних "экспертов". Автор честен с собой
> и потому мнение, возможно ошибочное, заслуживает внимания. Но это сейчас, а
> в случае "руткита" (более сложного технически) было немного иначе.Я не очень понимаю, чего ты прицепился к руткиту? Откуда ты вообще взял идею руткита в данном треде?
> Кстати, мой выпад про драйвер парируется очень просто:
Я обычно не парюсь "парировать выпады". Во всяком случае _все_ выпады. Если честно, я даже не читаю все выпады внимательно, я выбираю те, которые мне больше понравились.
> шифровальщик работает без привилегий. И всё, я слился и тихонько плакаю в уголке.)
Откуда мы знаем, как он работает? Он используется для таргетированных атак, люди вручную его всаживают на каждую систему, или пишут ботов заточенных под данную корпоративную сеть. Им может иметь смысл запускать его из-под рута, чтобы шифровать не одну юзерскую директорию -- их может быть больше одной на машине.
>> самоуверенность в вопросах безопасности
>> до добра не доводит: как только ты начинаешь верить в свою
>> неуязвимость, так сразу ты становишься уязвим.
> Это правило работает в обе стороны. Drovorub думает что спрятался, а вместо
> этого систему уронил.Софт который твикает систему нестандартными и часто недокументированными способами всегда рискует уронить систему. Многим не удаётся стандартными способами работать с системой так, чтобы это не приводило бы к катастрофическим последствиям. Нестандартные же гораздо сложнее.
>[оверквотинг удален]
>>>> Все знают: когда автор пишет "возможно, сработало бы", он недвусмысленно гарантирует отсутствие
>>>> результата.
>>> А, ты об этом. Но я ж и не скрывал того, что
>>> это просто поток сознания
>> Да, не скрывал. Эта способность дать понять читателю границы компетенции и выделяет
>> качественно твои комментарии из массы здешних "экспертов". Автор честен с собой
>> и потому мнение, возможно ошибочное, заслуживает внимания. Но это сейчас, а
>> в случае "руткита" (более сложного технически) было немного иначе.
> Я не очень понимаю, чего ты прицепился к руткиту? Откуда ты вообще
> взял идею руткита в данном треде?Обратил внимание, что ты изобретаешь руткит.
>> шифровальщик работает без привилегий. И всё, я слился и тихонько плакаю в уголке.)
> Откуда мы знаем, как он работает?Из условий задачи.
А>> зачем они его портировали?Ещё спроси кто ...
Это хорошо, что под Линукс новый софт появляется.А под Фряхой заработает?
да, ток сначала KDE пропатчить нужно
kldload linux linux64
pkg install mbedtls linux-c7
mount -t linsysfs linsys /compat/linux/sys
mount -t linprocfs linproc /compat/linux/proc
mount -t tmpfs -o rw,mode=1777 tmpfs /compat/linux/dev/shm
brandelf -t Linux RansomEXX
./RansomEXX
> А под Фряхой заработает?а чего нет - думаешь, они там запилили модный meson, поверх скрипт на nodejs, поверх скрипт на пихоне трех разных версий и где-нибудь вишенкой на тортике прибито /usr/include/linux как сейчас принято? Полагаю, пацанчики не настолько модные-молодежные, обычным make собирают. Ну может gnu make. А может и вовсе по старинке, руками cc -o ...
И ничего системозависимого особо и не надо, файлики-то по одному шифровать.
Надо было ставить Openindiana
Ядро надо переконпелять под него?
фотошоп лучше бы портанули
> Особенностью RansomEXX является использование в целевых атаках, в ходе которых злоумышленники через компрометацию уязвимостей или методы социальной инженерии получают доступ к одной из систем в сетиТо есть кто-то, практически вручную, взламывает корпоративную инфраструктуру, а потом запускает в ней нечто. Какие молодцы Касперы, что это выявили, раньше-то целевых взломов через уязвимости не было, и никто не напрягался.
Даже какеры пишут кроссплатформенный код! А игры где были, там и остаются.. :-|
Игры под линукс не нужны.
анонимы из-под винды не нужны
Винда из-под анонимов не нужна.
> Игры не нужны.fxd
Возможно, срывание покровов с этого секрета Касперский приберегает для дня помрачнее, но...
...трояны-шифровальщики прекрасно работают в Вайне вообще-то. Без всякого портирования.
Права уже научились обходить линуксовые? Или только хомяк с бутылкой?
> Права уже научились обходить линуксовые? Или только хомяк с бутылкой?А что, где-то у пользователя нет прав на документы, с которыми он работает?
> Выявлен порт программы-вымогателя RansomEXX для Linuxтак так, интересно, есть пострадавшие ?
> Исследователи из Лаборатории Касперского выявили версию вымогательского вредоносного ПО RansomEXX для Linux.
> на платформе Windows стал известен, благодаря нескольким крупным инцидентам с поражением систем различных госучреждений и компаний, включая Департамент транспорта штата Техас и компанию Konica Minolta.вот так всегда, под виндой чума косит миллионы, а под линем мы тока и слышим что исследователи там что-то где-то выявили, инструкция прилагается
> а под линем мы тока и слышимну это ты ничего не слышишь со своим локалхостом, а так косит иго-го как.
>а так косит иго-го какВидимо, тебя действительно косит ;)
написать вирус под линукс не проблема, проблема сделать так что б он попал на конечную систему и запустился. Вариант маскировать под активатор/кейген/программу для увеличения оперативной памяти в линуксе не прокатывает, особенно если речь про серверные платформы о которых тут упоминают.
Ищу гейген или активатор для перацкой FreeBSD, желательно без СМС :)
> Ищу гейген или активатор для перацкой FreeBSDдля этой https://ru.wikipedia.org/wiki/JUNOS ?
для начала надо спиратить саму железку.
Железку не обязательно, у них есть vMX и виртуальный SRX.
> Ищу гейген или активатор для перацкой FreeBSD, желательно без СМС :)
> Ищу гейгенДаже стесняюсь спросить, что это и для чего.
Наверное, что-то FreeBSD специфичное? *scnr* </petrosyanmode>
> Наверное, что-то FreeBSD специфичное?Что бы KDE пропатчить же.
Потому что надо маскировать под system.d-Cleaner или btrfs/ext4 Recovery Tool
В npm пихни любой зловредный башскрипт и все
Покажи как ты его запихивать будешь что б я сознательно его хотя бы скачал.
Как ты его запихнёшь так, чтобы это качало множество людей ?
У пакетов есть история, есть статистика скачивания и изменений, обилие звёзд и перечень проблем на гитхабе.. и сколь-нибудь нормальные люди смотрят на это прежде, чем что-то скачать.
Когда выкладываешь пакет в нпм, у него «внезапно» всё будет полностью нулЕвым.Конечно, кто-то скачает наверное.. но те господа с подобным успехом и кейген /сброс_триала для линукса скачают и запустят
> У пакетов есть история, есть статистика скачивания и изменений, обилие звёзд и перечень проблем на гитхабе.все это можно подделать, пока не знаю насколько дорого.
индустрия поддельных отзывов на веб-магазины, потреб.товары и сервисы существует, работает, пробивает даже yandex market. цены разумные.
> все это можно подделать, пока не знаю насколько дорого.
> индустрия поддельных отзывов на веб-магазины, потреб.товары и сервисы существует, работает,
> пробивает даже yandex market. цены разумные.Отзывы в интернет-магазинах и с диалогами и ответами в гитхаб - штуки весьма разные по смыслу, как и многое иное( большую важность имеет ещё и время существования модуля. Месяцами и годами генерировать активность не так уж и дёшево на фоне вероятной прибыли )
Понятно, что принципиально невозможного там нет, но это нифига не «просто залил самопальный модуль в нпм и тебе полилось море л.хов».
Тем более, что там модули весьма скоро выпиливаются при обнаружении проблем.
Тем более[2], что модули эти не сами-собой изниоткуда находятся - при первоначальном поиске( если речь не об опечатке ), они должны быть релевантней аналогов в поисковиках при поиске по соотв фразам и словам, иначе - пользователи скорее выберут аналоги.В общем, может так оказаться, что проще и удобней вшивать вирусню в кейнены и проч
> Месяцами и годами генерировать активность
> не так уж и дёшево на фоне вероятной прибыли )гонять роботов и индусов месяцами - недешево ?
> должны быть релевантней аналогов в поисковиках
ага. поучите СЕО-скаммеров релевантности и как семантическое ядро делать.
>> Месяцами и годами генерировать активность
>> не так уж и дёшево на фоне вероятной прибыли )
> гонять роботов и индусов месяцами - недешево ?Какую конкретно прибыль вы ожидаете ?)
Обычный никому неизвестный модуль, существующий считанные месяцы и уже набравший серьезную активность ?) -Это двойной повод, чтоб повнимательней посмотреть его код и, если все норм, то устанавливать его с конкретного комита на гитхабе.. и это при условии, что оно работает по заявленному функционалу( т.е реально придётся писать реальный модуль и такой, который бы захотели ставить именно модулем, а не скопировать десяток строк кода из index.js )>> должны быть релевантней аналогов в поисковиках
> ага. поучите СЕО-скаммеров релевантности и как семантическое ядро делать.Как будто с условно-слепыми переписываюсь.
Где я говорил, что это НЕВОЗМОЖНО ?
Я поднимал вопрос соразмерности затрат полученным результатам с поправкой на то, проект вылетит в трубу с первым же начавшим в нем копаться и обнаружившим «дыры».
кстати:> диалогами и ответами в гитхаб
можно копипастить у "настоящих" проектов.
> кстати:
>> диалогами и ответами в гитхаб
> можно копипастить у "настоящих" проектов.Только вот это нередко привязано к коду проекта, коммитам, диалогам на стековерфлоу итп.
Код сторонних проектов и их баги тоже копипастить предлагаете ?)
>Месяцами и годами генерировать активность не так уж и дёшево на фоне вероятной прибыли )Нафига? Достаточно придумать проблему и её решение свои модулем. Немного SEO и "программисты" повалят толпами.
> Нафига? Достаточно придумать проблему и её решение свои модулем. Немного SEO и
> "программисты" повалят толпами.Программисты уже давно научены лефтпадом.
Тем более, что немалая часть из них полезет в код, чтобы подсмотреть решение и, если оно компактное, то просто скопипастил код, недели тянуть в проект ещё одну зависимость )
>то просто скопипастил кодНет, так нельзя. Код лежащий в общей куче очищается от дыр и багов и вообще непрерывно развивается, а скопированный к себе код, нет. Так же чем больше в твоём проекте кода, тем сложнее его понять, используй ссылки на чужой код! Не трать своё время и не забивай свою память тем, что можно использовать как чёрный ящик. Всё это правила современного программирования.
> В npm пихни любой зловредный башскрипт и всеС таким успехом, можно самому прописать в терминале следущее - [root@ArchLinux felix] rm -Rf *
Быстрее и понятнее.
> Вариант маскировать под активатор/кейген/программу для увеличения оперативной памяти в линуксе не прокатывает, особенно если речь про серверные платформы о которых тут упоминают.Всей разницы-то:
curl -fsSL <new-cool-smoothie-recipes> | sudo sh
см. "curl -sS https://getcomposer.org/installer | php"Даже обыгрывалось в качестве первоапрельской шутки в кёрле:
https://www.opennet.dev/opennews/art.shtml?num=48373
>В утилиту curl добавлен параметр "--rootme", позволяющий загрузить заданный URL и запустить полученный код при помощи sudo, что существенно упрощает установку современных программ (например, теперь можно сразу выполнять "curl --rootme https://people.debian.org/~lamby/install.sh" без необходимости запуска конструкций вида "curl -qs https://people.debian.org/~lamby/install.sh | sudo sh -");Но можно упорно не замечать это бревно в своем глазу.
даже если упустить то что любой норм админ должен смотреть скрипты которые он запускает, то опять же что то новое никто без теста не будет тащить в прод, а если будет то это уже не прод, а дев сервер который смотрит в мир. Даже если и проигнорил первые 2 момента, то всегда есть бекапный сервер, доступ к которому есть только в одностороннем порядке (с бекапного сервера на сервера которые бекапим)
В некоторых случаях используется 2 независимых бекапных сервера в разных локациях.
Уж слишком много нужно налажать, что б у них все получилось при таком подходе.
Чnо касается композера, который использовался как пример, то его тоже можно ставить по другому.
wget -O /usr/local/bin/composer https://getcomposer.org/download/2.0.6/composer.phar | chmod +x /usr/local/bin/composer
А еще лучше собрать свой пакет и ставить проверенные версии со своей репы.
>> Вариант маскировать под активатор/кейген/программу для увеличения оперативной памяти в линуксе не прокатывает
> даже если упустить то что любой норм админ должен смотреть скрипты которые он запускает, то опять же что то новое никто без теста не будет тащить в прод, а если будет то это уже не прод, а дев сервер который смотрит в мир.Т.е. корпоративные виндо-"норм-админы" тянут "активатор/кейген/программу для увеличения оперативной памяти" в прод, а любители "curl |sh" -- "это неправильные админы и сервер у них не сервер"?
(то-то столько БД с миллионами пользовательских данных поимели через торчащие в интернет голые опы).
>> curl -sS https://getcomposer.org/installer | php
> Чnо касается композера, который использовался как пример, то его тоже можно ставить по другому.
> wget -O /usr/local/bin/composer https://getcomposer.org/download/2.0.6/composer.phar | chmod +x /usr/local/bin/composerМ-м-мать. И не возразишь же. Действительно, можно и так ставить 🤦
> написать вирус под линукс не проблема, проблема сделать так что б он попал на конечную систему и запустился.дырени никто не отменял
для того что б использовать уязвимости нужныусловия для этого. вот есть допустим очень старый сервер с FreeBSD, который давно не обновлялся, но который в мир смотрит одним портом (допустим 443). Сможешь воспользуешься дыренями? Миллиарды подобных серверов только ждут этого.
> вот есть допустим очень старый сервер с FreeBSD, который давно не обновлялся, но который в мир
> смотрит одним портом (допустим 443).и на нем - heartbleed, да?
> Миллиарды подобных серверов только ждут этого.
миллиарды уже дождались, судя по рейту попыток подключения к 22му порту, бредовым запросам к вебне и так далее.
> и на нем - heartbleed, да?да, пускай даже он, но в остальном с точки зрения безопасности будет нормально настроен. Сможете получить доступ достаточный для шифрования всех данных на виртуалке?
> миллиарды уже дождались, судя по рейту попыток подключения к 22му порту, бредовым
> запросам к вебне и так далее.вы путаете виртуалки настроенные сеошниками для вордпреса по статье написанной тоже сеошником с "в первую очередь корпоративных серверных систем, и особенно централизованных систем хранения" о которых упоминается в статье.
> Миллиарды подобных серверов только ждут этого.Миллиарды и дождались. И?
>> Миллиарды подобных серверов только ждут этого.
> Миллиарды и дождались. И?выше ответил на аналогичный вопрос.
Ответа не вижу.
Ну извините, можешь хоть закричаться «в домике, не считается!».
А реальность вот такая...
Я тоже могу дурака включить.
И вон у меня вон Ubuntu 20.04 c одной SAMBA наружу.
И это уже с #FF0000 глазым админом под боком пахнет. Потому что с кастомной компиляцией для своих нужд, а значит своевременность доставки секурных аплейтов около плинтуса.И это домашний локалхост... А в большой организации в лёгкую ещё какой трешак может творится... и творится.
А потом бомбает 🤨 Ну что поделать — это реальность.
Первую мысль не совсем понял, как будто текст генерили сеошным генератором текста.По поводу больших организаций, то я возможно мне везет раз ни в 1 из тех что работал сценарии под которые писался данный шифровальщик не были б профитными. Думаю проблема больше актуальна для мальньких организаций у которых всего 1 сервер, на котором все сервисы и из ИТ персонала, только знакомый бухгалтерши, который еще учится и периодически приходит переустанавливать им виндовс.
Если нормально настроенны хотя бы бекапы, то уже вирус теряет свою профитность.
Ну нет, конечно. Что тут сказать.
Реальность же есть, когда происходят взломы и вообще лютый треш наружу вылезает.Как есть...
>Я тоже могу дурака включить.А выключить - не можешь.
Остроумно.
>дырени никто не отменялЕсли дырени, то это уже будет червь, а не вирус.
Нет никаких проблем. Во-первых можно впарить ему красивую темку для гнома и выложить её на gnome-look.org - сам скачает и запустит, https://www.opennet.dev/opennews/art.shtml?num=24610 пример. Во-вторых можно засунуть что-нибудь интересное в браузерные дополнения. В-третьих никто не отменял всякие PPA. Ну и ещё вариант - всякие NPM, RubyGems и прочие помойки, из которых тащат код и вполне безвредные проги
темы и браузерные дополнения на серверных системах на которые, судя по статье, они ориентируются?
Ломать сервак из интрасети (к примеру с зараженной машины админа) заметно проще, чем из инета.
>в режиме ECBОдно из двух, либо это сделано намеренно, чтобы кто ненужно не пострадал, либо разрабы некомпетентны.
Убедили. Посоны, дайте магнет каспера с кейгеном под убунту.
Почитал как "вышел порт...". Ждем появления в репозитоиях.
LOL! На чом написан-то хотя бы??
Под линукс уже давно есть свой энтерпрайс вымогатель, SystemD называется, без него даже Gnome3 не запуститься. Шах и мат Касперскому!
Где скачать-то?
Он сам скачается, зайдешь ты на какой-нибудь мутный сайтик из гугла и все, приехали
> Он сам скачается, зайдешь ты на какой-нибудь мутный сайтик из гугла и все, приехали.'Троян, который распространяется с помощью HTML страниц в Популярных Browser'ов.'
Было бы прикольно, если бы подобное реализовали в явь.
Не HTML, а Js
> Не HTML, а JsИменно HTML как стандартный язык разветки страниц. Именно страница будет Атаковать тебя, а не код. :)
Press X for Doubt
> Он сам скачается, зайдешь ты на какой-нибудь мутный сайтик из гугла и все, приехалиС сервера без GUI?
Инструкция по установке тоже выявлена? или как обычно
Может линукс был не в курсе что его сломали, сервил себе файлики что дали да и все дела.
Скорее он эту дыру и делал для маиков потому что кдешник это теперь латентный виндоюзер виндовс-торрент кдешник-взломать_чужие_компьктеры_завендерлочить_что-бы_гном_не_запускался потому что одному человеку захотелось обладать всем и наработками с гнома котрый начал внезапно генерировать годные конфиги из текстового процессора , зопретить я торвальдс за меня топите товагищи! Увага!
Особенно прикольно когда в sudo что то типа ALL=(ALL) NOPASSWD:ALL
> Особенно прикольно когда в sudo что то типа ALL=(ALL) NOPASSWD:ALLВпервые вижу, чтоб Linux-Дистрибутив был без пароля. Что я пропустил?
Делайте бекапы!
А то бегемот.jpg
WinLocker в мире Linux. Скоро каждый 8-летний ребёнок сможет написать простейший шифрователь, который будет вешать систему намертво.
Останется дать восьмилетним кулхацкерам доступ к репозиториям и права мейнтейнеров популярных дистрибутивов.
> Останется дать восьмилетним кулхацкерам доступ к репозиториям.Хорошо, если у меня (10-Летнего 'кулхацкера') есть доступ к Репозиториям... Осталось только исходники мейнтейнеров себе присвоить - Вот оно, счастье. Буду самым крутым на Районе.
.
> исходники мейнтейнеровДНК что ли?
> ДНК что ли?Извиняюсь, *Заберу готовый пакет одного Мейнтейнера, и я скажу, что собирал его я. (Хотя собрать пакет 'из' одного Мейнтейнера тоже не плохо).
.
> Заберу готовый пакет одного Мейнтейнера, и я скажу, что собирал его я.Ты же понимаешь, что оно не через «я скажу» работает, а через подпись?
> Ты же понимаешь, что оно не через «я скажу» работает, а через подпись?Нет, не понимаю. Да, это очевидно, но ничего подобного не читал.
На фряхе или опенбзде работает?
Неправильно. ФриБЗДа и Опенок.
Дистр с минимальным числом пакетов, открытых портов и сервисов, всё разграничено контейнерами, минимальным числом прав для пользователя и файлов в системе без рута. Плюс какой-нибудь монитор для контроля активности и целостности файлов. Честно говоря настроив всё это я слабо себе представляю полноценно работающий вирус или даже троян шифровальщик.
>минимальным числом прав для пользователя и файлов в системе без рута.Пользователи тебя за такое загрызут. Удобство и безопасность, понятия несовместимые.
>Пользователи тебя за такое загрызут. Удобство и безопасность, понятия несовместимые.Ну почему не совместимые, просто нужно установить минимальные привилегии, огородить программы одни от других и предоставить доступ только в определенные места, а не везде куда только можно. Это даже не потребует какой-то параноидальной настройки в виде запроса пароля на каждый пук.
> Ну почему не совместимые, просто нужно установить минимальные привилегии, огородить программы
> одни от других и предоставить доступ только в определенные места, а
> не везде куда только можно. Это даже не потребует какой-то параноидальной
> настройки в виде запроса пароля на каждый пук.Отредактировал фотку, видео, звук и захотел добавить их в офисный документ, а нельзя. Захотел отправить документ в другой отдел, а нельзя. Вот за это и загрызут. Ограничить можно только доступ к системным библиотекам, так как они нафиг не нужны пользователям. А шифровальщику как раз и нужны те файлы, к которым должны иметь доступ все пользовательские программы.
Как я испужался, теперь в интренет только с live usb :D
> Исследователи из Лаборатории Касперского выявили* создали
Интеграторы
> Теперь стратегия интеграторов из Лаборатории Касперского изменилась и они нацелились на поражение в первую очередь корпоративных серверных систем1 этап аттаки известной как "распродажа" (Крепкий орешек 4: Старые привычки умирают с трудом)
Опенсорсные вирусы! Интересно под какой лицензией? GPL?
ELF
Это формат линуксячьх exeшников, меня интересует исходный код
MIT
Файловый сервер у меня будет в ридонли-контейнере, а данные - на OpenZFS. И чтовымнесделаите.
> И чтовымнесделаите.У Богатова спроси.
Компании производители (анти)вирусов начали осваивать линукс.
антивирус приобщает линукс к системному реагированию на угрозы: csirt/isac/soc, ransomware-as-a-service, di-detect-respond-nist-sp1800-26-draft.pdf.. все те процессы с 2.11.1988
Значит Linux становится популярен среди хомячков? Будет ли антивирус каспарского доступен на мой Kali?
а зачем тебе агент спецслужб на Кали?
резидентный модель заблокировал попытку запуска вредоносной программы login, данные отправлены, link down.
>на моём кале
BTRFS с subvolume. Отдельно раздел хомяков, отдельно для корня. Для корня снепшоты делаются перед и после pacman. Для хомяка раз в день с глубиной в 10 дней. NoCow только там, где у пользователя прямых прав нет.
Если (о, чудо!) этот червь сможет выполниться из-под пользователя, то самое плохое, что он сделает - заполнит раздел хомяка из-за CoW. Ну и данные аж за день работы в хомяке потеряются. Ой печаль-то.
Если (о, великое чудо!) он проберётся под рута, то потеряются данные от последнего бэкапа, т.е. до недели.
Если диск посыпется возможны варианты. Наиболее вероятное развитие событий: все данные утеряны, восстановить что-либо невозможно. Ах, да, бэкапы тоже оказались повреждены.
> Если диск посыпетсяС чего ему сыпаться? Если раздел хомяка заполнен меньше 50% (прямо сейчас - меньше), то зашифрует и успокоится. Если больше, то скажет "ой, места мало". Я перегружусь под чистой ISOшкой арча, которая лежит в /boot (тоже отдельный раздел) и починю.
Если червь таки забрался под рута и будет ОЧЕНЬ умный чтобы что-то делать с subvolume, то даже тогда, он заполнит раздел хомяка раньше, чем доберётся до последнего снепшота скорее всего (потому что CoW).
И только если он заберётся под рута и пойдёт сразу в /dev/sdX - только тогда ему будет что вредить.> Ах, да, бэкапы тоже оказались повреждены.
А это предположение откуда?
> Наиболее вероятное развитие событий
Наиболее вероятное развитие событий - не запустится. Или запустится в песочнице, чтобы посмотреть на него.
Да не, просто диски обладают таким свойством, сыпаться. Иногда это может оставаться незамеченным довольно долго (в смарте ничего не отображается, понятное дело). Бтрфс в случае повреждения кандидат номер 1 на полную утерю всего, а её принципы работы не способствуют надёжности и долговечности. В теории всё выглядит неплохо, да.
Очень хочется сказать ХОРОШИЕ И ДОБРЫЕ СЛОВА!! Касперский выдыхай