Nuovo malware per GNU/Linux (sembra una bufala!)
È riportato su slasdot[¹] la scoperta di un nuovo malware (rootkit) che
prende di mira sistemi GNU/Linux. Lo riporto qui poiché ad un primo
impatto, almeno leggendo il titolo, può sembrare preoccupante.
Da quello che ho capito è basato su suterusu[¹], un rootkit pubblico
disponibile su github che era stato sviluppato per Linux 2.6/3.x
Ulteriori dettagli sul sito di lacework[³].
Da quello che ho capito:
* non si sa come il malware penetri nel sistema operativo
* crea il file /proc/.inl o /tmp/.tmp_XXXXXX
* sostituisce eseguibili di sistema: kill, scp, ssh, ...
* quando un utente esegue "sudo kill" o simile carica un modulo in Linux
e si "impadronisce" del sistema
a me sembra assurdo, se non paradossale.
Per scrivere in /proc devi essere root, lo stesso se vuoi sostituire un
comando come /bin/kill. Ma se sei già root per poter fare queste azioni
perché devi attendere che l'utente esegui tali comandi come root per
poterti impadronire del sistema?
Ciao
Davide
[¹]
https://linux.slashdot.org/story/21/10/10/000240/new-fontonlake-malware-family-can-target-linux-systems?utm_source=feedburner&utm_medium=feed&utm_campaign=Feed%3A+Slashdot%2Fslashdot+%28Slashdot%29
[²]
https://github.com/mncoppola/suterusu
[³]
https://www.lacework.com/blog/hcrootkit-sutersu-linux-rootkit-analysis/
--
Browser: http://www.mozilla.org/products/firefox
GNU/Linux User: 302090: http://counter.li.org
Non autorizzo la memorizzazione del mio indirizzo su outlook
Reply to: