1

Onderwerp: Malware voor Linux.

https://securelist.com/blog/research/67 … n-turla-2/

Voor de geïnteresseerden.

2

Re: Malware voor Linux.

Leuk, maar een virus of malware schrijven dat er van uit gaat dat je voledige toegang hebt tot je systeem is nooit een uitdaging geweest.

Pascal's Blobfree Homepage
Een dag geen NedLinux is een dag niet geleefd

Re: Malware voor Linux.

1. Hoe krijg ik het?

2. Moet ik expliciet een executable uitvoeren om het te krijgen of kun je het al krijgen van het openen van de plaatjes in je mail bijvoorbeeld?

Als je voor een verdieping niet de diepte in moet, maar de hoogte, waarom heet het dan ....

4

Re: Malware voor Linux.

Hr Jansen,  je zult op zijn minst iets van een scriptachtig iets als root moeten uitvoeren, dit kan natuurlijk nauwelijks per ongeluk gebeuren.
Iets van een script als gewone user uitgevoerd kan ook problemen veroorzaken, maar dat is dan op een lager (minder desastreus) niveau.

Het openen van plaatjes, muziekjes e.d. zal niet snel tot problemen leiden, echter eerst klikken dan pas denken is geen verstandig idee, want veel mail programma's kunnen scripts gewoon uitvoeren en dan is het prijs.
Dan nog een mail programma opstarten als root gebruiker, of zomaar plompverloren je wachtwoord invoeren zonder te weten waarom getuigt ook niet van verstandig beleid.

Bovenstaande heeft betrekking op het verhaal achter de de link van Comudro, waarvan ik meer de indruk heb dat het als proof of concept opgezet is.
Immers een gewone gebruiker gaat als regel geen libraries instaleren of updaten.

Pascal's Blobfree Homepage
Een dag geen NedLinux is een dag niet geleefd

5 Laatst bewerkt door MeneerJansen (10 Dec 2014 20:14:33)

Re: Malware voor Linux.

pascal schreef:

Hr Jansen,  je zult op zijn minst iets van een scriptachtig iets als root moeten uitvoeren, dit kan natuurlijk nauwelijks per ongeluk gebeuren.

Pak van m'n hart! smile

pascal schreef:

Het openen van plaatjes, muziekjes e.d. zal niet snel tot problemen leiden, echter eerst klikken dan pas denken is geen verstandig idee, want veel mail programma's kunnen scripts gewoon uitvoeren en dan is het prijs.
Dan nog een mail programma opstarten als root gebruiker, of zomaar plompverloren je wachtwoord invoeren zonder te weten waarom getuigt ook niet van verstandig beleid.

Waaom worden Windows PC's dan zo vaak geïnfecteerd? Daar mag je toch ook niets aan het systeem aanpassen als je geen Administrator bent?

Als je voor een verdieping niet de diepte in moet, maar de hoogte, waarom heet het dan ....

6 Laatst bewerkt door pascal (10 Dec 2014 22:20:39)

Re: Malware voor Linux.

Windows systemen hadden aanvankelijk helemaal geen behoorlijke beveiliging (Win-95, Win-98) en als ze die al wel enigzinds hadden (Win-XP) dan stonden deze standaard uit of werd de beveiliging uitgezet omdat het zo onhandig is. Mensen willen immers hun gedownloade programmaatjes zonder gezeur kunnen draaien en op een linkje of een emailtje kunnen klikken om vervolgens het beloofde filmpje te kunnen aanschouwen.
De beveiliging van Windows systemen is zo onhandig dat zelfs 'specialisten' deze dan maar uitzetten of omzeilen... tja zo hou je een systeem niet veilig he.
Met een beetje beleid kan een Windows systeem als Win-7 tegenwoordig ook prima draaien hoor
(Ik gebruik het niet omdat ik het zo gruwelijk gebruikers onvriendelijk vind, zelfs een Mac bevalt me beter)

Bedenk echter dat het met Linux ook niet allemaal koek en ei is ! Van de vele 'gehakte' servers waar je daaglijks over in de krant leest draait het overgrote deel Linux. Het zijn vaak de serverapplicaties waar het aan schort kwa beveiliging, inrichting, en onderhoud. ICT is een vak (of zou dat tenminste moeten zijn)

Voor jou thuis... ach ik draai al 20 jaar Linux ik hang elke dag aan het internet, en doe totaal niets aan beveiliging... nog nooit een issue gehad.... MAAAR ik installeer niet zomaar plompverloren elk programma dat mij toegestuurd wordt, en ik log niet zonder goede reden in als root, ik denk wel een klein beetje een idee te hebben wat niet zo verstandig is..

Er zijn nog wel meer issues om rekening mee te houden hoor, maar dan praat je al over echter hackers die b.v. weten wat een bufferoverflow is en hoe je daar iets 'creatiefs' mee kan doen.
Ga er maar niet van uit dat je buurjongetje van 9 tot die catagorie behoord !

Pascal's Blobfree Homepage
Een dag geen NedLinux is een dag niet geleefd

7

Re: Malware voor Linux.

MeneerJansen schreef:

1. Hoe krijg ik het?

Even een webpagina opzoeken waarop het ter download wordt aangeboden en dan downloaden, rechten wijzigen zodat je het kunt uitvoeren en dan opstarten.
Beetje zoals met elk programma en meteen de reden waarom je nooit programma's uit een onvertrouwde bron moet downloaden en installeren


2. Moet ik expliciet een executable uitvoeren om het te krijgen of kun je het al krijgen van het openen van de plaatjes in je mail bijvoorbeeld?

Een systeem besmetten via een geprepareerd document kan alleen als in het programma waarmee je het document opent een fout is ontdekt die het mogelijk maakt je systeem (in dit geval beperkt tot de rechten van je gebruikersaccount) over te nemen.
Dat zal onder Linux niet snel een probleem zijn gezien het kleine marktaandeel en de versnippering van documentviewers.
Plus dat je natuurlijk altijd je systeem en software up to date hebt en fouten dus snel worden hersteld....

Besmet raken via plaatjes in de mail zonder dat er gebruik gemaakt wordt van een lek in je software: daar had Microsoft jarenlang het patent op.
Bijv. outlook express had enerzijds de gewoonte om extensies te verbergen en anderzijds was het programma zo attent dat het uitvoerbare bestanden voor je kon opstarten.
Dus dan kreeg je een script in je mail binnen met de naam annakournikovanaakt.jpg.sh en dacht je aan de extensie te zien dat het een jpg was, terwijl outlook express de sh ziet (eigenlijk de windows-equivalent die ik even niet weet te benoemen) en voert het script uit...
Met alle gevolgen van dien...

Voor zover ik weet is Windows Live Mail niet meer zo attent.
Onder Linux is voor zover ik weet geen enkel mailprogramma of browser zo attent om scripts en executables bij aanklikken uit te voeren.

Help mee om KDE 5 in het Nederlands te vertalen!!

8

Re: Malware voor Linux.

MeneerJansen schreef:

Waaom worden Windows PC's dan zo vaak geïnfecteerd? Daar mag je toch ook niets aan het systeem aanpassen als je geen Administrator bent?

Afgezien van het feit dat onder windows de hoofdgebruiker vaak ook administrator is; om een systeem te infecteren hoef je niet per se administratorrechten te hebben. Als gebruiker kun je in je persoonlijke map ook software installeren en uitvoeren.
Meeste malware onder Windows tegenwoordig zie je dan ook in iemands persoonlijke mappen, ipv in de systeemmappen van windows. Verder lift malware vaak mee met 'normale' programma's, welke uiteraard met administratorrechten worden geinstalleerd.
Linux is hier beter tegen beschermd omdat de meeste software afkomstig is uit centrale repositories, ipv dat je allerlei downloadsites afschuimt om een gratis tool...

Help mee om KDE 5 in het Nederlands te vertalen!!

9 Laatst bewerkt door Gps (12 Dec 2014 15:28:07)

Re: Malware voor Linux.

MeneerJansen schreef:

Waaom worden Windows PC's dan zo vaak geïnfecteerd? Daar mag je toch ook niets aan het systeem aanpassen als je geen Administrator bent?

Laat ik een praktijk voorbeeld geven, waarom ik op win 7 UAC oa. uitgezet heb. Ikwerd helemaal lijp van de hoeveel vragen die ik kreeg.

De reden dat er windows op mijn pc staat heeft alles met spellen te maken. En juist die programma's willen vaak niet werken met beperkte rechten.

Na veel zoeken en oa allerlei compatibiliteit opties geprobeerd te hebben, heb ik de uac maar uitgezet, en werk ik als admin.

Als ik dus niet oplet waar ik op klik, dan heeft een script dus alle rechten.

Ga je bij steam op zoek, naar oplossing voor problemen met spellen, dan is één van de eerste dingen die je tegenkomt een vraag.
Werkt wel als je het spel als admin start......

Zal alles te maken hebben met wat Pascal zegt.

Computer games don't affect kids.  I mean if computer games had affected us as kids, we would all be running around in a darkened room, munching pills and listen to repetitive music.

10

Re: Malware voor Linux.

Tja ik speel nooit spellen, dus zijn dat soort problemen mij ook niet echt bekend.

Pascal's Blobfree Homepage
Een dag geen NedLinux is een dag niet geleefd

Re: Malware voor Linux.

pascal schreef:

Hr Jansen,  je zult op zijn minst iets van een scriptachtig iets als root moeten uitvoeren, dit kan natuurlijk nauwelijks per ongeluk gebeuren.

Heb je het artikel gelezen? Deze malware draait als gewone user.

Verder hoef je niets uit te voeren. Er zijn zo vaak lekken in Java en Flash dat als je een van deze plugins in je browser hebt, het risico significant vergroot. In het verleden zijn al virussen verspreid via ad netwerken, waarbij een 'advertentie' een kwetsbaarheid in Flash gebruikte om het systeem te infecteren.

Als je browser plugins gebruikt, is het het beste ook meteen een Flash blocker te installeren (zodat Flash alleen gebruikt wordt op sites waar je het toestaat) en AdBlock + Ghostery om alle ad-netwerken e.d. te blokkeren.

12

Re: Malware voor Linux.

devrandom, het is een soortement van lib... die moet je toch echt als root instaleren.
daarna tja..... dan is het idd prijsschieten
het is echt niet zo lastig om elende te veroorzaken
malware versturen kan idd wel zonder rootrechten maar het kan dan niet JOUW systeem vernaggelen he.
(en ik vind je nieuwe nick STOM !)

Pascal's Blobfree Homepage
Een dag geen NedLinux is een dag niet geleefd

Re: Malware voor Linux.

pascal schreef:

devrandom, het is een soortement van lib... die moet je toch echt als root instaleren.

Sinds wanneer moet je root zijn om een library te gebruiken? Gewoon via LD_PRELOAD jezelf nestelen voordat libc geladen wordt en dan kun je voor die gebruiker processen volledig controleren.

malware versturen kan idd wel zonder rootrechten maar het kan dan niet JOUW systeem vernaggelen he.

Jawel. Fouten in Flash e.d. staan vaak random code execution toe. Je kunt dan payload in een account nestelen en als je bijv. een library met LD_PRELOAD laadt, kun je dit helemaal onzichtbaar maken voor de gebruiker, omdat je elke functie uit libc kunt 'overriden' inclusief bijv. het opvragen van directory entries.

De meeste malware is helemaal niet geïnteresseerd in root, omdat gebruikersprivileges genoeg zijn om je machine te gebruiken in een DDoS aanval. Of om keystroke logging te doen en je bankrekening te plunderen.

Met een lekke Flash ben je net zo kwetsbaar als iedereen. Behalve dat Linux malware minder frequent is, omdat het door de kleine gebruikersgroep niet interessant is.

Dit is ook de reden waarom andere OSes (OS X, Android, iOS) op sandboxing over zijn gegaan. Je kunt dan iig voorkomen dat een gehacked proces dit soort trucs uithaalt.

Maar Linux gebruikers blijven lieven met hun kop in het zand, 'want Linux is veilig'. Overigens is de technologie er allang (SELinux) en levert Red Hat dit al jaren in hun standaarddistributie.

14 Laatst bewerkt door 5Tgff##2699Jbv!!rrOn (11 Dec 2014 22:22:50)

Re: Malware voor Linux.

Laat ik daar maar eens 'amen' op zeggen!

(Like da nick ;-)

15

Re: Malware voor Linux.

Ik weet niet hoe je aan die onzin komt Daniel,
zoals ik al eerder melde zijn de meeste servers die gehakt worden Linux systemen, welke niet of slecht beheerd worden.
Dat beheer daar gaat en staat het allemaal mee.
Als je nu eens concreet kon aangeven hoeveel Linux gebruikers er nu last hebben gehad van malware of virrussen (en jouw kennende kom je in de volgende thread meteen met cijfers) maar ik ben nog nooit iemand tegen gekomen die van iets dergelijks last heeft gehad. dat kan ik zeer zeker wel voor Windows gebruikers zeggen !

En ja... SELinux (en ook Thrusted Solaris als iemand dat nog gebruikt) maken de wereld een stuk veiliger. Helaas is dat voor de hedendaagse apt-get install lamp dumbass_admin beheerder te lastig om te begrijpen.

Pascal's Blobfree Homepage
Een dag geen NedLinux is een dag niet geleefd

16 Laatst bewerkt door 5Tgff##2699Jbv!!rrOn (11 Dec 2014 22:36:11)

Re: Malware voor Linux.

Beheer is belangrijk. En als dat niet goed gebeurt heb je de poppen aan het dansen. Maar systemen zijn niet alleen om te beheren. Ook om te gebruiken. En het gebruik wordt ook misbruikt. Tegenwoordig meer dan ooit.
Selinux is mooi maar dat wil ik niet heilig verklaren. Het begint bij degelijk beheer en bij correct gebruik. Bij extreme zaken heb je iets als selinux (en weet ik wat er allemaal nog verder is) nodig.

Re: Malware voor Linux.

pascal schreef:

Ik weet niet hoe je aan die onzin komt Daniel,
zoals ik al eerder melde zijn de meeste servers die gehakt worden Linux systemen, welke niet of slecht beheerd worden.

Je bent outdated Pascal:

https://www.youtube.com/watch?v=94QsgdXnsmU
http://arstechnica.com/security/2014/04 … linux-too/

Re: Malware voor Linux.

Je kunt je dus alleen wapenen tegen dit soort aanvallen als je flash in ieder geval niet meer zou gebruiken?
Of alle Adobe meuk vermijden.

19

Re: Malware voor Linux.

Incomudro   Flash is absoluut evil en ik zie ook niet zo goed in waarom je dat in een browser zou willen implementeren (youtube wellicht al is dat inmiddels ook niet meer echt nodig)
Ik denk verder dat je een onderscheid moet maken tussen Desktop systemen en servers (waarom zou een server een gui met bijhorende applicaties moeten hebben ?)
Verstandig en kundig beheer is zoals Leon aangeeft de enige remedie.
Daarvoor moet je overigens niet bij mij zijn. het feit dat er nog nooit een server van mij de klos is geweest wil nog niet zeggen dat ik mijn werk (al dan niet beinvloed door externe factoren) goed gedaan heb.
Ik ben n.l. een techneut en geen systeembeheerder, en alsozodanig zie ik beheer dan ook als uiterst vervelend en oninteresant werk terwijl andere vakcolega's dat juist een uitdaging vinden.

Pascal's Blobfree Homepage
Een dag geen NedLinux is een dag niet geleefd

Re: Malware voor Linux.

Ik heb geen server en gebruik alleen een desktop en heb flash voor zover ik weet alleen voor youtube en spelpunt, maar net zoals je al aangeeft kun je met youtube over het algemeen goed gebruik maken van html5.
Ik heb flash dan alleen nog nodig voor spelpunt.nl, deze site bezoek ik soms en die vereist wel flash.

(Ik kan natuurlijk ook gewoon gaan hartenjagen met de buren, hahaha.)

Andere adobe producten draai ik al lang niet meer, soms was Adobe reader noodzakelijk daar dit features bezit die andere readers niet hebben.
Maar tot nu toe gaat dit prima met Evince.

Re: Malware voor Linux.

Bedankt voor de uitleg allemaal. Ik slaap een stuk rustiger nu. wink

Als je voor een verdieping niet de diepte in moet, maar de hoogte, waarom heet het dan ....