Discussione Shikiteka, malware FUD che attacca Linux

Stato
Discussione chiusa ad ulteriori risposte.

Access Denied

Utente Emerald
17 Gennaio 2022
329
90
222
467
Linux, un OS che trovo generalmente tedioso da exploitare (solo in caso sia di cattivo umore), è stato preso di mira da un nuovo attacco che consente di ottenere il pieno controllo dell'OS da remoto.
In seguito ad alcuni test effettuati localmente, posso confermare quanto comunicato da quest'articolo:

Per sintetizzare il contenuto di questi due articoli, la main feature del malware è l'ottenimento dei privilegi di sessione di un amministratore attraverso l'exploiting di rispettivamente:
CVE-2021-4034
CVE-2021-3493
Queste due vulnerabilità consentono di fare sostanzialmente privilege escalation, e ottenere i permessi di root. Ottenere i permessi di root, significa:

1. Possibilità di accedere alle cartelle contenenti i file che consentono il corretto funzionamento del sistema, e apportare modifiche a piacimento. Cancellazione o modifica dei file contenuti in queste cartelle può comportare conseguenze fatali che variano da severe compromissioni dei programmi alla formattazione completa del dispositivo;

2. Possibilità di fare dumping degli hash delle password di sistema, e di quelle della rete wifi (qualora siano salvate);

Lo scopo degli attaccanti è solitamente quello di controllare un impianto ransomware nel dispositivo infettato, o talvolta di un impianto di coin-miner. Il controllo avviene per mezzo di un agent notoriamente conosciuto nel mondo dell'IT Security per il suo elevato impiego nelle operazioni di hacking etico, denominato Meterpreter. Quest'agent (che io adoro, grazie alla sua malleabilità) è la scelta preferita per operazioni di ethical hacking, poiché si tratta di un malware headless, e cioè incapace di operare autonomamente nella fase di post-exploitation. Sfortunatamente, Meterpreter è anche vittima di script kiddies e di morti di fame, come quelli che stanno controllando questi impianti ransomware.

Per quanto riguarda la feature davvero più preoccupante, è l'abilità del malware di bypassare molti AV. Sono pochi i tool di sicurezza che hanno rilevato e bloccato la minaccia in tempo reale. I metodi di dffusione purtroppo, non sono stati ancora chiariti, è opportuno tenersi aggiornati. Dato che di prassi, un malware è un file che viene aperto involontariamente, i principali metodi potrebbero essere le tecniche di truffa, ma non è da escludere che possa essere trasmesso attraverso RCE exploit, che si presentano solo qualora nel target OS vi siano vulnerabilità critiche, come BlueKeep (è di Windows, ma la cito solo per dare l'idea).
 
  • Mi piace
Reazioni: 0xbro e 0xGhost

0xbro

Super Moderatore
24 Febbraio 2017
4,233
167
3,310
1,645
Uuuuuuh PwnKit (CVE-2021-4034) me la ricordo bene, quando è uscito l'exploit era pieno di macchine vulnerabili su cui poter fare privesc! Comunque i malware su Linux sono meno rispetto a Windows, ma sono anche molto più complicati da scovare una volta che si viene infettati (secondo me)
 
  • Mi piace
Reazioni: Access Denied

Access Denied

Utente Emerald
17 Gennaio 2022
329
90
222
467
Se sono più difficili da scovare non lo so onestamente perché i metodi di persistence usati su Linux sono diversi da quelli usati su Windows, e io non conosco bene Linux. Su Windows i malware per fare persistence possono fare le seguenti cose:
1. Modificano il registro di sistema per creare una voce che forza il malware ad autoeseguirsi ogni tot secondi, in questo caso il malware è un file indipendente, solitamente si insidia in %temp%
2. Modificando sempre il registro, bindano il malware a un processo di sistema già impostato per l'autostart (es. Winlogon.exe), e quando parte questo processo, parte anche il malware, in questo caso il file potrebbe trovarsi nella stessa folder ove risiede winlogon.exe, ossia system32
3. Qualora nel target OS ci sia un AV particolarmente pignolo che non permette di toccare il registro o processi critici (lsass,winlogon,ecc) come ultima risorsa si può optare per la famosa startup folder, dove il malware può essere insediato e lanciato as 'user'. Questo ha basse chance di triggerare gli AV ma è un metodo di persistence meno potente, perché startup è solitamente il primo oggetto di indagine quando si sospetta un infezione malware, e inoltre il fatto che il malware viene lanciato senza i privilegi dell'amministratore non permette all'attaccante di fare feature-tampering.

Adesso,non so quale sia l'equivalente di tutta sta roba qua su linux, ma che sia più difficile da scovare ho qualche dubbio, credo sia tutta una questione soggettiva. È possibile che per uno che usa da una vita solamente linux sia un gioco da ragazzi.
 
  • Mi piace
Reazioni: 0xbro
Stato
Discussione chiusa ad ulteriori risposte.