Portál AbcLinuxu, 3. května 2025 12:19

Trojský kůň DDoS pro Linux obsahující komponentu RootKit

Bezpečnostní experti společnosti Avast analyzovali nový kmen trojského koně zaměřeného na OS Linux, pojmenovaný XOR.DDoS, který obsahuje také komponentu RootKit. Na tento nový malware upozorňoval v listopadu na blogu sdružení CZ.NIC Ondřej Mikle. [CSIRT.CZ]

10.1.2015 07:43 | Ladislav Hagara | Zajímavý článek


Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

Komentáře

Nástroje: Začni sledovat (0) ?Zašle upozornění na váš email při vložení nového komentáře. , Tisk

Vložit další komentář

10.1.2015 08:31 vasek
Rozbalit Rozbalit vše Re: Trojský kůň DDoS pro Linux obsahující komponentu RootKit
Odpovědět | Sbalit | Link | Blokovat | Admin
A jak se dá takové napadení systému vlastně detekovat? Jsou nějaké online nástroje pro detekci podezřelého chování (zjištění různých systémových volání apod.) nebo je člověk odkázaný na analýzu logů a doufání, že jim může na napadeném systému věřit?
10.1.2015 08:42 r76 | skóre: 7 | Ostrava
Rozbalit Rozbalit vše Re: Trojský kůň DDoS pro Linux obsahující komponentu RootKit
http://test.bezpecnosti.cz/

osobne sem nasel jen toto....a myslim,ze je to na nic
10.1.2015 09:04 vasek
Rozbalit Rozbalit vše Re: Trojský kůň DDoS pro Linux obsahující komponentu RootKit
Tím online jsem myslel něco co běží v systému a monitoruje chování - něco jako obdoba rezidentního štítu antiviru ve windows. Pokud vím, nic takového není a detekce vniknutí do systému může být jen otázkou náhody.
10.1.2015 09:10 r76 | skóre: 7 | Ostrava
Rozbalit Rozbalit vše Re: Trojský kůň DDoS pro Linux obsahující komponentu RootKit
http://www.eset.com/int/download/home/detail/family/71/

leda tohle. taky bych rad neco nasel...nejlepe online abych obcas projel system.
10.1.2015 09:16 r76 | skóre: 7 | Ostrava
Rozbalit Rozbalit vše Re: Trojský kůň DDoS pro Linux obsahující komponentu RootKit
http://www.eset.com/int/download/home/detail/family/71/

se omlouvam,...asi vítr :(
10.1.2015 10:43 MilanH
Rozbalit Rozbalit vše Re: Trojský kůň DDoS pro Linux obsahující komponentu RootKit
Tak on antivirus pro Linux je z principu blbost. Linux je v základu Unix a neexistuje možnost, jak pro něj vytvořit škodlivý kód, narozdíl od věčně děravých widlí. Holt bez root práv (něco jako práva administrátora ve widlích) nemá útočník šanci cokoli špatného natropit, tak se přestaňte zbytečně bát a vykašlete se na nějaké rezidentní štíty. To přenechte widlákům.
⧠ A = 0 avatar 10.1.2015 10:46 ⧠ A = 0 | skóre: 11 | blog: Technokratovo_zrcadlo | Helsinki
Rozbalit Rozbalit vše Re: Trojský kůň DDoS pro Linux obsahující komponentu RootKit
Už to nehul.
Nevolte zmrdy.
13.1.2015 17:51 Petr Ježek | skóre: 10
Rozbalit Rozbalit vše Re: Trojský kůň DDoS pro Linux obsahující komponentu RootKit
Asi bych i souhlasil, nebýt dvou drobných problémů: Prvním je fakt, že uživatel se do role admina (roota) dostává poměrně často a netuší, jaké procesy přitom vlastně běží a mohou být zneužity k získání práv roota. Dále, postupný trend posilování userspace znamená, že ona pověstná unixová bariéra mezi rootem a uživateli doznala zásadní proměny znamenající její oslabení. Na serverech lze provozovat rutinní (rezidentní) scan v době nejnižšího provozu a tam to dává obzvláště smysl. Na uživatelských stanicích to dává smysl pouze tam, kde uživatel netuší, která dvířka kde mimoděk a neúmyslně otevřel - prostě u linuxu příliš neznalého uživatele. Jinde probíhá nepravidelná kontrola jinými prostředkya uživatel obvykle ví, co činí. Tam je rezidentní scan opravdu zbytečný.
Archlinux for your comps, faster running guaranted!
Migi avatar 10.1.2015 10:51 Migi | skóre: 59 | blog: Mig_Alley
Rozbalit Rozbalit vše Re: Trojský kůň DDoS pro Linux obsahující komponentu RootKit
Skutečně? V čem mi základ v unixu brání napsat shellový kód pro smazání dat v userspace? Pak je to už jen o přesvědčení uživatele ke spuštšní. Stačí to přibalit k nějaké "zajímavé" hře nebo populárnímu softu, který se nestahuje z repa, a je to.

A nedej bože, když by to "instalovali" pod rootem. :P
10.1.2015 15:06 tany
Rozbalit Rozbalit vše Re: Trojský kůň DDoS pro Linux obsahující komponentu RootKit
Ale to je pořád o tom, že roota má debil. Podle této logiky je linux úplně nahovno a totálně děravý, viz legendární univerzální odpověď na cokoli rm -rf / .

10.1.2015 15:37 luky
Rozbalit Rozbalit vše Re: Trojský kůň DDoS pro Linux obsahující komponentu RootKit
V tom pripade to je ale trojan a ne vir. Vir se siri tim, ze se sam nakopiruje do programu, knihoven, startovaciho zaznamu atd., coz pod normalnim uzivatelem nejde udelat.
10.1.2015 16:41 MadCatX
Rozbalit Rozbalit vše Re: Trojský kůň DDoS pro Linux obsahující komponentu RootKit
Ale samozřejmě že jde. Jednak existují bezpečnostní díry, pomocí kterých lze dostatečná oprávění získat a druhak škodlivý kód nemusí hned běžet pod rootem, aby dokázal páchat zlo.
10.1.2015 17:03 luky
Rozbalit Rozbalit vše Re: Trojský kůň DDoS pro Linux obsahující komponentu RootKit
Zlo pachat muze, ale to z programu neudela vir. Pokud se bude sirit pomoci nejake chyby, jedna se o cerva - opet to neni vir.
10.1.2015 17:27 MadCatX
Rozbalit Rozbalit vše Re: Trojský kůň DDoS pro Linux obsahující komponentu RootKit
Hádat se o nepřiliš jasně definované nomenklatuře různých programů, které provádí bez vědomí uživatele nežádoucí činnost se nebudu. Podstatné je, že pro Linux z principu existovat mohou a existují, ať už je označíte jakkoliv...
10.1.2015 18:13 kralyk z abclinuxu | skóre: 29 | blog:
Rozbalit Rozbalit vše Re: Trojský kůň DDoS pro Linux obsahující komponentu RootKit
Prostě je to malware, a hotovo.

Jinak diskuse mi připomněla tenhle xkcd.
SPD vůbec není proruská
11.1.2015 01:14 Ladislav Hagara | skóre: 105 | blog: Ride the Raven
Rozbalit Rozbalit vše Re: Trojský kůň DDoS pro Linux obsahující komponentu RootKit
Komiks xkcd 1200: Autorizace
Bedňa avatar 11.1.2015 13:18 Bedňa | skóre: 34 | blog: Žumpa | Horňany
Rozbalit Rozbalit vše Re: Trojský kůň DDoS pro Linux obsahující komponentu RootKit
Tento je jeden z najlepších :)
KERNEL ULTRAS video channel >>>
13.1.2015 08:01 ed | skóre: 18
Rozbalit Rozbalit vše Re: Trojský kůň DDoS pro Linux obsahující komponentu RootKit
Rozdiel je ale v tom, ze tieto diery su platane, takze z tych zhruba 300 virusov, ktore som nejaku dobu dozadu evidoval, je v dnesnej dobe zrejme funkcnych 0. Pokial teda nie su zalozene na tom, ze pouzivatel vyuziva bezne konto roota a nejako moc neriesia, ze nemaju prava na zapis do suborov (otazne je, komu by to na co bolo, binarky sa medzi systemami moc nekopiruju). Bez exploitu nejakej diery je ale v podstate nemozne stat sa rezidentnym v systeme tak, aby to nebolo prilis napadne a infikovat iny system po sieti zasa vyzaduje exploitovat bezpecnostnu chybu. V skutocnosti zrejme bezpecnostnych chyb viac, pretoze moznost spustit kod v kontexte nejakeho sietoveho demona by zvacsa malo viest k moznosti spustit kod v kontexte nejakeho velmi neprivilegovaneho usera, nie roota. To je sice prekonanie bezpecnosti, ale na "virusoidnu" aktivitu to IMHO stale nestaci.

Takze si myslim, ze rezidentna ochrana ako sposob aktivnej ochrany linuxoveho systemu voci infekcii je zbytocna. Vhodne naprogramovana heuristika schopna sledovat stav systemu a vyhodnotit nejake podozrive chovanie, alebo este lepsie integritu systemu na styl runtime analyzeru kodu by bola dobra na hladanie dier v jadre (nie v zmysle "pocuj, asi je tam niekde diera, lebo tu mam podivny kod" ale v zmysle "takto je mozne ziskat opravnenia roota, a/alebo spustit lubovolny kod v kontexte jadra"). Tu sa ale obavam, ze taka diagnostika by si jednak z userspace pri sledovani stavu neskrtla a jednak by taka analyza asi zabrala nemalu cast vykonu.

13.1.2015 17:54 Foo Bar | skóre: 14
Rozbalit Rozbalit vše Re: Trojský kůň DDoS pro Linux obsahující komponentu RootKit
Pokud se budete ve Windows chovat stejně uvědoměle jako se chováte běžně v Linuxu, tak nepotřebujete rezidentní ochranu ani na Windows. Tj. instalace dodatečného software pouze z Windows Store, Steamu, atp. a běžnou práci budete provádět pod neprivilegovaným uživatelem.

AFAIK nejhorší vektor zranitelnosti na Windows jsou dnes uživatelé, kteří jsou zvyklí spustit cokoli staženého z Internetu a odklikat všechny dialogy.

Samozřejmě, že se čas od času objeví nějaký drive-by útok přes prohlížeč, který napadne nějaký bezva plugin, který je instalovaný v XX miliónech zařízeních (dost creepy hláška), nebo vzdálená zranitelnost, ale nemám v poslední době pocit, že by se to nějak zvlášť lišilo mezi platformami...

A jen tak na okraj - pokud se vyznáte ve všech procesech, které běží pod Vaším účte a pravidelně kontrolujete obsah složky autostart Vašeho desktopu, tak Vám nezbývá nic jiného než gratulovat k velmi zodpovědnému chování.

Bohužel i na Linuxu už je přítomna ona mentalita: "stáhnu, pustím a důvěřuji". Stačí si nainstalovat Google Chrome, Dropbox, Spotify...
13.1.2015 18:40 frdrx | skóre: 29 | blog: frdrx
Rozbalit Rozbalit vše Re: Trojský kůň DDoS pro Linux obsahující komponentu RootKit
Souhlasím, nicméně Windows jsou malware samy o sobě.
Patička mi slouží k tomu, abych si lépe poznal svoje příspěvky.
17.1.2015 12:52 lertimir | skóre: 64 | blog: Par_slov
Rozbalit Rozbalit vše Re: Trojský kůň DDoS pro Linux obsahující komponentu RootKit
Asi je to v W7 lepsi. Ale pamatuji si, jak jsem chtel dceri tak v roce 2005 nastavit presne tento rezim na XP, tedy omezeny uzivatel na praci a admin na udrzbu, a zkrachovalo to na tom, ze tak 50% programu nebylo v omezenem rezimu plne funkcnich.
13.1.2015 17:43 Foo Bar | skóre: 14
Rozbalit Rozbalit vše Re: Trojský kůň DDoS pro Linux obsahující komponentu RootKit
> neexistuje možnost, jak pro něj vytvořit škodlivý kód

:-) Naivita nad naivitu... #mademyday

A ještě bych chtěl slyšet tu pohádku o tom, jak jsou komerční *nixy odolnější...
10.1.2015 10:40 SE
Rozbalit Rozbalit vše Re: Trojský kůň DDoS pro Linux obsahující komponentu RootKit
Není důvod k panice. Tahle havěť potřebuje získat root přístup a zkouší útok hrubou silou na SSH.

"The infection starts by an attempt to brute force SSH login credentials of the root user."
Jendа avatar 10.1.2015 11:17 Jendа | skóre: 78 | blog: Jenda | JO70FB
Rozbalit Rozbalit vše Re: Trojský kůň DDoS pro Linux obsahující komponentu RootKit
Ano, tahle konkrétní. Určitě jich ale bude venku víc, nebo někdo brzo něco hezkého napíše.
12.1.2015 18:02 j
Rozbalit Rozbalit vše Re: Trojský kůň DDoS pro Linux obsahující komponentu RootKit
Zadny viry neexistujou (netreba dokazovat, je to axiom).

Jediny virus je obsluha.

Plati zcela vseobecne, jen v pripade widli je ta obsluha prevazne 1000x tupejsi. Bonusem budiz to, ze v tuxovi se bez roota pracovat da.

Jinak je asi tak o 10 radu jednodussi a efektivnejsi primet obsluhu k tomu, aby neco spustila, nez system napadnout bez jeji ucasti. Ono povestne "ja jsem chudy virus, tak si nahodne smaz par souboru po disku" totiz naprosto dokonale odpovida realite.
11.1.2015 09:50 Petr Ježek | skóre: 10
Rozbalit Rozbalit vše Re: Trojský kůň DDoS pro Linux obsahující komponentu RootKit
Mezi "potřebuje získat" a "získává" je obrovský rozdíl. Zde konkrétně je nutná aktivní spoluúčast správce/uživatele systému, ostatně jako téměř vždy v těchto případech. Ostatně SSH je prakticky jediným častěji využívaným slabým článkem pro tyhle exploity.
Archlinux for your comps, faster running guaranted!
10.1.2015 10:42 safs
Rozbalit Rozbalit vše Re: Trojský kůň DDoS pro Linux obsahující komponentu RootKit
Pomoci rkhunter nebo chkrootkit.
10.1.2015 11:09 vadimo_user
Rozbalit Rozbalit vše Re: Trojský kůň DDoS pro Linux obsahující komponentu RootKit
sudo rkhunter --update
sudo rkhunter -c
Jendа avatar 10.1.2015 11:14 Jendа | skóre: 78 | blog: Jenda | JO70FB
Rozbalit Rozbalit vše Re: Trojský kůň DDoS pro Linux obsahující komponentu RootKit
nebo je člověk odkázaný na analýzu logů a doufání, že jim může na napadeném systému věřit?
Vypadá to tak. Vítej v IT roku 2015.

On ten nástroj běžící uvnitř napadeného systému půjde vždycky obejít, ten malware ho prostě deaktivuje, schová se před ním…
10.1.2015 15:38 luky
Rozbalit Rozbalit vše Re: Trojský kůň DDoS pro Linux obsahující komponentu RootKit
TPM
11.1.2015 02:27 Lol Phirae | skóre: 23
Rozbalit Rozbalit vše Re: Trojský kůň DDoS pro Linux obsahující komponentu RootKit
To si narvi do análu.
Jendа avatar 11.1.2015 03:50 Jendа | skóre: 78 | blog: Jenda | JO70FB
Rozbalit Rozbalit vše Re: Trojský kůň DDoS pro Linux obsahující komponentu RootKit
Proč? Správně použito může mít různé výhody.
11.1.2015 07:51 d.c. | skóre: 30
Rozbalit Rozbalit vše Re: Trojský kůň DDoS pro Linux obsahující komponentu RootKit
Nebo nespravne (ale vcas) pouzito muze prilakat Joannu! A ta za to stoji. ;-)
10.1.2015 21:12 lertimir | skóre: 64 | blog: Par_slov
Rozbalit Rozbalit vše Re: Trojský kůň DDoS pro Linux obsahující komponentu RootKit
No to nemusí být až zas tak pravda. Často je důležité, kdo je v systému dříve. Jedoucí ochraný nástroj může startujícímu útočnému softu v mnohém zabránit. Třeba tak, že pustí jen prověřený program. (t.j. jen takovou binárku, kterou má registrovanou a sedí hash.) Také je podstatné jak hluboko na HW ochraný nástroj sahá. Viděl jsem a analyzoval několik útoků, které silně modifikovaly knihovny OS, ale pokud se prováděla komunikace přímo na blokové zařízení dělala se analýzu inode a struktury FS ve vlastní režii tak to oblbnout nedokázaly.

A souhlas s tím, že to není triviální. A takové ty řeči, že linux nepotřebuje ochrané nástroje, ať již to budeme nazávat antivirus nebo jinak, jsou kecy.

Samozřejmě první, co trochu inteligentní utočný soft udělá po získání privilegií je, že promaže logy. Takže o něco více spolehlivé logy než lokální jsou syslog na jinou mašinu (logovací server).
12.1.2015 18:05 j
Rozbalit Rozbalit vše Re: Trojský kůň DDoS pro Linux obsahující komponentu RootKit
Ono neni promazat logy jako promazat logy, specielne na tuxovi, pokud dotycny pouziva jiny nez ocekavany logger. Navic i tak to je dost casto minimalne poznat.

Nemluve o tom, ze zadnej nastroj nezastavi uzivatele. Widle se asi tak 150x ptaj jestli chces spustit ... a kdyz to odklipe ...
stativ avatar 10.1.2015 12:18 stativ | skóre: 54 | blog: SlaNé roury
Rozbalit Rozbalit vše Re: Trojský kůň DDoS pro Linux obsahující komponentu RootKit
Co kontrola integrity systému, jako je aide nebo tripwire?
Ať sežeru elfa i s chlupama!!! ljirkovsky.wordpress.com stativ.tk
10.1.2015 12:23 biolog
Rozbalit Rozbalit vše Re: Trojský kůň DDoS pro Linux obsahující komponentu RootKit
Oskenovat systém pomocí nějakého LiveCD nebo nainstalovaného jiného důvěryhodného systému.

Pokud máte funkční secure boot (nebo verified boot nebo jak se tomu správně říká), tak se vám to ověřuje samo, stačí občas rebootovat.
11.1.2015 09:54 Petr Ježek | skóre: 10
Rozbalit Rozbalit vše Re: Trojský kůň DDoS pro Linux obsahující komponentu RootKit
Většinou ano. Ne však vždy. A člověk je tvor kreativní...
Archlinux for your comps, faster running guaranted!
10.1.2015 10:52 frdrx | skóre: 29 | blog: frdrx
Rozbalit Rozbalit vše Re: Trojský kůň DDoS pro Linux obsahující komponentu RootKit
Odpovědět | Sbalit | Link | Blokovat | Admin
Spíš plemeno když už.
Patička mi slouží k tomu, abych si lépe poznal svoje příspěvky.
10.1.2015 16:42 CLX-Kuba
Rozbalit Rozbalit vše Re: Trojský kůň DDoS pro Linux obsahující komponentu RootKit
Spíš plemeno když už.
Nechci rozjizdet zadnej flame, ale tohle by me docela zajimalo :-)

U zivejch koni je to plemeno.

Viry jako (jako vnitrobunecni cizopasnici) maj kmeny.

Ale pocitacove viry? Nejsou zive, jsou to jen jednicky a nuly.

Mam tedy rikat ze maj kmeny? Nebo druhy ci varianty?

Trojsky kun taky nebyl zivej ani historicky ani u PC.

Osobne mi tam plemeno fakt nesedi ;-)

A ani sem si nic nevybral z wiki
10.1.2015 17:33 frdrx | skóre: 29 | blog: frdrx
Rozbalit Rozbalit vše Re: Trojský kůň DDoS pro Linux obsahující komponentu RootKit
Ještě by to mohl být model :-).
Patička mi slouží k tomu, abych si lépe poznal svoje příspěvky.
10.1.2015 11:56 biolog
Rozbalit Rozbalit vše Re: Trojský kůň DDoS pro Linux obsahující komponentu RootKit
Odpovědět | Sbalit | Link | Blokovat | Admin
Hurá! Už nás neignorují!
AsciiWolf avatar 10.1.2015 19:06 AsciiWolf | skóre: 41 | blog: Blog
Rozbalit Rozbalit vše Re: Trojský kůň DDoS pro Linux obsahující komponentu RootKit
:-D
pavlix avatar 10.1.2015 20:44 pavlix | skóre: 54 | blog: pavlix
Rozbalit Rozbalit vše Re: Trojský kůň DDoS pro Linux obsahující komponentu RootKit
Then they ridicule you.
Já už tu vlastně ani nejsem. Abclinuxu umřelo.
11.1.2015 10:01 Petr Ježek | skóre: 10
Rozbalit Rozbalit vše Re: Trojský kůň DDoS pro Linux obsahující komponentu RootKit
Then you win.
Archlinux for your comps, faster running guaranted!
11.1.2015 10:31 mica
Rozbalit Rozbalit vše Re: Trojský kůň DDoS pro Linux obsahující komponentu RootKit
And in the end, you die.
11.1.2015 10:00 Petr Ježek | skóre: 10
Rozbalit Rozbalit vše Re: Trojský kůň DDoS pro Linux obsahující komponentu RootKit
Odpovědět | Sbalit | Link | Blokovat | Admin
Jde o n-tý pokus dát na vědomí, že když admin (root a na některých instalacích už i pouhý uživatel, bohužel) dopustí, připustí hrubý útok na poněkud subtilní SSH. Dokud se využívá slabosti SSH, řešení je snadné. Ergo vtloukat do hlav všech, jak zabránit získání práv roota komukoli jinému než "vyvolenému"!
Archlinux for your comps, faster running guaranted!

Založit nové vláknoNahoru


ISSN 1214-1267, (c) 1999-2007 Stickfish s.r.o.