[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Nuovo malware per GNU/Linux (sembra una bufala!)

È riportato su slasdot[¹] la scoperta di un nuovo malware (rootkit) che prende di mira sistemi GNU/Linux. Lo riporto qui poiché ad un primo impatto, almeno leggendo il titolo, può sembrare preoccupante.
Da quello che ho capito è basato su suterusu[¹], un rootkit pubblico disponibile su github che era stato sviluppato per Linux 2.6/3.x 

Ulteriori dettagli sul sito di lacework[³].

Da quello che ho capito:
* non si sa come il malware penetri nel sistema operativo
* crea il file /proc/.inl o /tmp/.tmp_XXXXXX
* sostituisce eseguibili di sistema: kill, scp, ssh, ...
* quando un utente esegue "sudo kill" o simile carica un modulo in Linux e si "impadronisce" del sistema 

a me sembra assurdo, se non paradossale.
Per scrivere in /proc devi essere root, lo stesso se vuoi sostituire un comando come /bin/kill. Ma se sei già root per poter fare queste azioni perché devi attendere che l'utente esegui tali comandi come root per poterti impadronire del sistema? 

Ciao
Davide

[¹]
https://linux.slashdot.org/story/21/10/10/000240/new-fontonlake-malware-family-can-target-linux-systems?utm_source=feedburner&utm_medium=feed&utm_campaign=Feed%3A+Slashdot%2Fslashdot+%28Slashdot%29

[²]
https://github.com/mncoppola/suterusu

[³]
https://www.lacework.com/blog/hcrootkit-sutersu-linux-rootkit-analysis/

--
Browser: http://www.mozilla.org/products/firefox
GNU/Linux User: 302090: http://counter.li.org
Non autorizzo la memorizzazione del mio indirizzo su outlook
Reply to: