1

Сотрудники Лаборатории Касперского, разбирая последствия поразившей ряд правительственных систем атаки Turla, обнаружили, что используемое для проведения данной атаки вредоносное ПО не ограничивалось платформой Windows, но и содержало компоненты для оставления бэкдора на системах с Linux.

При этом в отчёте представлена достаточно противоречивая информация. С одной стороны, утверждается, что троян для Linux оставался незамеченным несколько лет и обладал средствами скрытия от обнаружения. С другой стороны, говорится, что троян работает без необходимости получения привилегий root и реализован как пользовательский процесс. Суть защиты от обнаружения сводилась к тому, что он напрямую не открывал слушающие сокеты для приема управляющих запросов, а осуществлял скрытое отслеживание команды на пробуждение, осуществляя пассивный мониторинг трафика при помощи штатных функций библиотеки libpcap. При обнаружении в трафике ключа активации, создавался сетевой сокет для приёма управляющих команд.

К сожалению, не указано как организовывался запуск трояна в системе (в статье приводится пример запуска исполняемого файла от root, но утверждается, что троян работал от обычного пользователя), а именно как этому процессу удалось открыть raw-сокет для мониторинга трафика без привилегий root и без наличия capabilities-флага CAP_NET_RAW, установка которого также требует повышенных привилегий. Также непонятно, как троян долго мог оставаться незамеченным и был отнесён к категории "stealth backdoor" при наличии в файловой системе связанного с ним файла, отображении в списке процессов и наличии в списке владельцев raw-сокетов.


http://www.opennet.ru/opennews/art.shtml?num=41256

It is good day to die ...
MS Windows 10
Заметки о главном...

2

"Сотрудники Лаборатории Касперского" - дальше можно не читать.
i2ks, у вас акк фтентакле есть? Вот туда бы и постили подобную развесистую копипасту ab

Leap 42.3 Calculate Linux, Xfce, Emacs, ..

3

1000Mhz пишет:

i2ks, у вас акк фтентакле есть? Вот туда бы и постили подобную развесистую копипасту

не..в вк нету :-)

It is good day to die ...
MS Windows 10
Заметки о главном...

4

И главное почему в этот раздел? В теме ожидаются пресловутые "сотрудники лаборатории", которые с пеной у рта станут доказывать, что я не прав? ag

Leap 42.3 Calculate Linux, Xfce, Emacs, ..

5

1000Mhz пишет:

И главное почему в этот раздел? В теме ожидаются пресловутые "сотрудники лаборатории", которые с пеной у рта станут доказывать, что я не прав?

Чужие здесь не ходят. ap

Segui il tuo corso, e lascia dir le genti

6

jashaw5 пишет:

Чужие здесь не ходят. ap

скорее не доходят... не всякий орёл долетает до середины Стикса, Херону трёхлинейку подогнали, не ну а чё, старику скучно, вот и развлекается как умеет...  ah

" si contuderis stultum in pila quasi tisanas feriente desuper pilo non auferetur ab eo stultitia eius " © Proverbs 27:22

7

Мои слова не особенно вежливы
Но и не слишком сильны
Мне просто печально
Что мы могли-бы быть люди
Козлы.

©Козлобородый гуру.

Карусель разнесло по цепочке за час
Всех известий — конец
Да, весна началась!
(всё к лицу подлецу, как родному отцу, не рассказывай, батя, и так всё пройдёт)

8

i2ks пишет:

С одной стороны, утверждается, что троян для Linux оставался незамеченным несколько лет и обладал средствами скрытия от обнаружения. С другой стороны, говорится, что троян работает без необходимости получения привилегий root и реализован как пользовательский процесс.

Да уж... Палится Касперский всё позорнее.

9

троян в пользовательской среде?
шикарный замысел создателей  ag

ПатреГ не любит Gnome...

10

Termo пишет:

троян в пользовательской среде?
шикарный замысел создателей  ag

что-то другое как придумать для Линукса?

11

Termo пишет:

троян в пользовательской среде?

Абсолютно ничего смешного, нужно ведь украсть данные пользователя, в самой системе ничего интересного быть не может.

12

DdShurick пишет:
Termo пишет:

троян в пользовательской среде?

Абсолютно ничего смешного, нужно ведь украсть данные пользователя, в самой системе ничего интересного быть не может.

Кто Вам сказал, что уель украсть данные? Ну да, банде юных кулхацкеров - наверное так.

А проникнуть в систему и сделать машину ботнетом? Это стоит больше денег.

13

Termo пишет:

троян в пользовательской среде?

вполне возможно. Зря смеётесь.

DdShurick пишет:

Абсолютно ничего смешного, нужно ведь украсть данные пользователя, в самой системе ничего интересного быть не может.

именно так. Но система тоже должна быть неуязвима, ибо через систему можно попасть куда угодно. Именно это причина того, что работать под рутом нельзя. Только настраивать(и то, только систему, что в юзер-френдли не требуется вроде как).

Вопрос не только и не столько в безопасности: сам юзер хуже любого трояна.

Карусель разнесло по цепочке за час
Всех известий — конец
Да, весна началась!
(всё к лицу подлецу, как родному отцу, не рассказывай, батя, и так всё пройдёт)