Re: Nuovo malware per GNU/Linux (sembra una bufala!)
On Mon, Oct 11, 2021 at 08:40:46PM +0200, Davide Prina wrote:
> È riportato su slasdot[¹] la scoperta di un nuovo malware (rootkit) che
> prende di mira sistemi GNU/Linux. Lo riporto qui poiché ad un primo impatto,
> almeno leggendo il titolo, può sembrare preoccupante.
>
> Da quello che ho capito è basato su suterusu[¹], un rootkit pubblico
> disponibile su github che era stato sviluppato per Linux 2.6/3.x
>
> Ulteriori dettagli sul sito di lacework[³].
>
> Da quello che ho capito:
> * non si sa come il malware penetri nel sistema operativo
> * crea il file /proc/.inl o /tmp/.tmp_XXXXXX
> * sostituisce eseguibili di sistema: kill, scp, ssh, ...
> * quando un utente esegue "sudo kill" o simile carica un modulo in Linux e
> si "impadronisce" del sistema
>
> a me sembra assurdo, se non paradossale.
>
> Per scrivere in /proc devi essere root, lo stesso se vuoi sostituire un
> comando come /bin/kill. Ma se sei già root per poter fare queste azioni
> perché devi attendere che l'utente esegui tali comandi come root per poterti
> impadronire del sistema?
>
> Ciao
> Davide
>
> [¹]
> https://linux.slashdot.org/story/21/10/10/000240/new-fontonlake-malware-family-can-target-linux-systems?utm_source=feedburner&utm_medium=feed&utm_campaign=Feed%3A+Slashdot%2Fslashdot+%28Slashdot%29
>
> [²]
> https://github.com/mncoppola/suterusu
>
> [³]
> https://www.lacework.com/blog/hcrootkit-sutersu-linux-rootkit-analysis/
>
> --
> Browser: http://www.mozilla.org/products/firefox
> GNU/Linux User: 302090: http://counter.li.org
> Non autorizzo la memorizzazione del mio indirizzo su outlook
>
Di rootkit ce ne sono a bizzeffe. Non capisco bene qual'è la novità...
--
Saluton,
Marco Ciampa
Reply to: