Сотрудники Лаборатории Касперского, разбирая последствия поразившей ряд правительственных систем атаки Turla (http://en.wikipedia.org/wiki/Turla_%28malware%29), обнаружили (https://securelist.com/blog/research/67962/the-penquin-turla... что используемое для проведения данной атаки вредоносное ПО не ограничивалось платформой Windows, но и содержало компоненты для оставления бэкдора на системах с Linux.
При этом в отчёте представлена достаточно противоречивая информация. С одной стороны, утверждается, что троян для Linux оставался незамеченным несколько лет и обладал средствами скрытия от обнаружения. С другой стороны, говорится, что троян работает без необходимости получения привилегий root и реализован как пользовательский процесс. Суть защиты от обнаружения сводилась к тому, что он напрямую не открывал слушающие сокеты для приема управляющих запросов, а осуществлял скрытое отслеживание команды на пробуждение, осуществляя пассивный мониторинг трафика при помощи штатных функций библиотеки libpcap. При обнаружении в трафике ключа активации, создавался сетевой сокет для приёма управляющих команд.
К сожалению, не указано как организовывался запуск трояна в системе (приводится пример запуска исполняемого файла от обычного пользователя), а именно как этому процессу удалось открыть raw-сокет для мониторинга трафика без привилегий root и без наличия capabilities-флага CAP_NET_RAW, установка которого также требует повышенных привилегий. Также непонятно, как троян долго мог оставаться незамеченным и был отнесён к категории "stealth backdoor" при наличии в файловой системе связанного с ним файла, отображении в списке процессов и наличии в списке владельцев raw-сокетов.URL: http://arstechnica.com/security/2014/12/powerful-highly-stea.../
Новость: http://www.opennet.me/opennews/art.shtml?num=41256
Клевета, все же зают, что под Linux вирусов нет!
Конечно нет, ибо троян не вирус
в данном случае, ибо это выдумка кашпировского
Моррис смотрит на тебя с недоумением.
> Моррис смотрит на тебя с недоумением.это тот "червь", который подбирал пароль из списка? :D Бред кашпировского забавнее. Несёт какой то бред, то юзерспейс, то не юзерспейс, то стелс то нестелс.... А был ли мальчик и есть ли разум у кашпировского, чтобы понять как работает линукс? :D Такое ощущение что тамошние "специалисты" слишком люто работают на жёлтую прессу, не имея при этом знаний о предмете.
$ apt-cache search turla$
в debian - точно нет
> Клевета, все же зают, что под Linux вирусов нет!Давай мне вирус скорей! Запускать буду. :)
Так тут же автор пишет, что в используемом для атаки ПО был вирус.
>Сотрудники Лаборатории Касперского обнаружили,
>К сожалению, не указано как организовывался запуск трояна в системе, а именно как этому процессу удалось открыть raw-сокетЖалкий и жёлтый пиар. "Мы нашли нечто страшное. Трепещите! А что именно нашли -- не скажем. Сильнее трепещите. И бабло несите."
ты наверно был слишком мал - когда гуляли трояны для апача на линуксе - ложившие стопками сервера MS SQL вместе с магистральными маршрутизаторами.
Может и ходили -- я не админ и с такой гадостью не сталкивался.
Я указываю на пустоту заявления Касперского: "Мы нашли нечто, но что именно -- не скажем". Так делать плохо.
> Может и ходили -- я не админ и с такой гадостью не
> сталкивался.
> Я указываю на пустоту заявления Касперского: "Мы нашли нечто, но что именно
> -- не скажем". Так делать плохо.Кому надо - получают от них полный релиз. Не пробывал связаться с ними?
Я вам посылку принес, только я вам ее не отдам, у вас докУментов нету. :)
пробовал же!
кстати ходить по ссылкам не пробывал? Там больше деталей чем в бредовом переводе.
А то выглядит как с анекдоте про битлиз - херня эти ваши битлы? а откуда знаешь? рабинович напел.Вот так и тут.
Школота, это анекдот про Шаляпина.
Карузо
> на линуксе
> сервера MS SQLты MS SQL с варезника стянул? Ну тогда не удивительно что строянов в вайне нахапал...
я только наблюдал как европа отваливалась под потоком флуда и возросшую загрузку своих роутеров.
А ты видимо по себе это судишь ?
угу на горе сидел и наблюдал, как вся еврова полыхала объятая пожаром вирусятины, и плач детей, и пречетания вдов доносил ветер, и запах гари.
> трояны для апача
> сервера MS SQLА линукс-то здесь при чем? Дыры в сторонних продуктах, а виноват как всегда линукс?
"MS SQL" на линуксе?! Когда анон был маленьким??
Завязывай с наркотиками, дружок.
> ты наверно был слишком мал - когда гуляли трояны для апача на линуксе - ложившие стопками сервера MS SQL вместе с магистральными маршрутизаторамиMS SQL под Linux. Ты серьезно видел? И можешь пояснить, как он связан с "магистральными маршрутизаторами". То ли opennet мельчает, то ли всех идиотов притягивает.
Ну и зачем здесь эта новость. Основной источник этой сенсации - это "Лаборатория дядя Жени". А как известно он очень любит пиар и высокии рейтинги компнии. Всё давно уже известно:
Чтение касперского показало такую картину:
1) вирус запускает сниффер tcpdump/PCAP на сетевом интерфейсе и ждет «магического пакета» TCP
2) при получении, активирует backdoor для ip адреса, с которого пришёл магический пакет.
3) якобы права root вирус не требует.
С правами обычного пользователя запустить сниффер штатными средсвами нельзя, сперва нужно повысить привилегии.
Т.е. никакой сенсации, никаких чудес— сперва надо зарутовать linux сервер, а уж потом ставь что хочешь.
Запускаю вирус именно от рута - https://kasperskycontenthub.com/securelist/files/2014/12/Pen...
Для очень любопытных здесь подробнее - https://kasperskycontenthub.com/securelist/files/2014/12/Pen...
> Запускаю вирус именно от рута ...Просто еще один "олбанский" вирус: запустите меня, пожалуйста, и помогите распространить. :)
>> Запускаю вирус именно от рута ...
> Просто еще один "олбанский" вирус: запустите меня, пожалуйста, и помогите распространить.
> :)Еще скомпилиривать его нужно.
Как я понял - жизнь ещё интересней!
"...To start execution, the process requires two parameters: ID (a numeric value used as a part of the "magic packet for authentication") and an existing network interface name... This is NOT a command-line parameter, it's a REAL PROMPT ASKING THE ATTACKER USER to provide the input parameters..." Т.е.: "Товарисч ROOT! Научи меня троянить!"
Сорри, здесь - https://securelist.com/blog/research/67962/the-penquin-turla-2/
> сетевой сокет для приёма управляющих команд.А нафига, при использовании pcap то? Это как-то не логично.
Ну, так специалисты же самой "Лаборатории" в деле...
имхо, так сделано для упрощения реализации. бот же вроде как должен ответы куда-то отсылать, а с pcap/raw-сокета это на порядок сложнее, чем через обычное tcp-соединение.
(конечно, ыкперты опеннета делали бы именно первый вариант, и где-то к ~2030г появился бы первый рабочий прототип)
> а с pcap/raw-сокета это на порядок сложнееЧего бы это вдруг? Тем более что открытие обычного сокета - аннулирует всю маскировку достигаемую использовнием pcap. Тогда зачем было все это кодить? Где логика в таких действиях?
> Где логика в таких действиях?логика в том, чтобы быть незаметным до «часа икс». поскольку эникейщики не имеют привычки постоянно аудитить систему, то ВНИЗАПНАЕ открытие сокета в системе, где никто ничего не обновлял кучу времени и даже файлов с новыми датами особо нет, будет тупо проигнорено. типа «ну, до этого же ничего подозрительного не было! а, значит, это просто какая-то нормальная софтина что-то своё делает, фиг с ней.»
> открытие обычного сокета - аннулирует всю маскировку достигаемую использовнием pcapоткрыл, отослал, закрыл, снова сидит и молча слушает дамп. получил ответ- снова открыл-отослал-закрыл.
> Сотрудники Лаборатории КасперскогоДальше читать не стал эти бредни лаборантов...
Не любите сказки? А они воспитывают в нас доброту.
С тех пор, как сказки запатентовали, доброта из них ушла.
Ага. Особенно - братьев Гримм ;)
Там ни не заводилась отродясь, у нас они были в "ненавистно-советском" изложении
Троян Trula обнаружил лабораторию касперского.
...и заразил там всех вирусом жадности :)
*...и заразился там вирусом жадности
> Лаборатории Касперскогодаже агентство ОБС надёжней.
пассаны, а почему ЛК вызывает такой батхёрт на опеннете?
Вы путаете батхерт и стеб. :)
Видно совсем плохи дела у касперского
> Видно совсем плохи дела у касперскогоУгу, 20 лет никак не сдохнут. С чего бы это, а?
> Видно совсем плохи дела у касперскогоТы знаешь, это правда. С тех пор, как в Windows 8 появился штатный антивирус (для любого, а не только домашнего, как в Windows 7, применения), дела пошли плохо У ВСЕХ антивирусных компаний.
>> Видно совсем плохи дела у касперского
> Ты знаешь, это правда. С тех пор, как в Windows 8 появился
> штатный антивирус (для любого, а не только домашнего, как в Windows
> 7, применения), дела пошли плохо У ВСЕХ антивирусных компаний.Видно у MS дела тоже не сахар.
Не сахар. Последний сюрприз от MS - принудительное обновление Windows 8 до 8.1, что повлекло в госучреждениях неработоспособность отечественной криптографии КРИПТО-ПРО и сайтов типа госзакупок и аналогичных министерских госсайтов, которые работают только с IE и только до версии 10.Засада похуже любых вирусов, тем более троянов (!) под Linux (!). Ну Касперский и артист, пора в Москонцерт устраиваться.
> Последний сюрприз от MS - принудительное обновление Windows 8Арендаторы должны знать кто настоящий хозяин системы. Иногда не лишне напомнить, чтоб не зарывались.
> в госучреждениях неработоспособность отечественной криптографии КРИПТО-ПРО
Отлично, как раз можно составить список тех кто имеет проблемы с технологической зависимостью. И это криптопро разогнать КЕМ за виндозависимость, для начала. Зависеть от системы в собственности американской компании нынче не только не модно, но и попросту чревато.
> только с IE и только до версии 10.Вот как раз нам и списочек проблемных локаций в госорганах подгонят. Хоть и жесткими методами. Как раз пора выпилить все активиксы и интернетэксплореры. Вместе с виндами.
> Ты знаешь, это правда. С тех пор, как в Windows 8 появился штатный антивирусМне этот выкидыш индусов из M$ в руки не попадал, но подавляющее большинство виндузятников от неё плюются, причём среди них есть даже упоротые поклонники винды.
И что-то мне подсказывает, что этот "встроенный антивирус" работать будет так же, как встроенный в винду "фаервол" - будет годиться только на то, чтобы его сразу отключить сразу после установки винды.
> И что-то мне подсказывает, что этот "встроенный антивирус" работать будет так же,
> как встроенный в винду "фаервол" - будет годиться только на то,
> чтобы его сразу отключить сразу после установки винды.Хм, то есть ничем не хуже Касперского.
>> И что-то мне подсказывает, что этот "встроенный антивирус" работать будет так же,
>> как встроенный в винду "фаервол" - будет годиться только на то,
>> чтобы его сразу отключить сразу после установки винды.
> Хм, то есть ничем не хуже Касперского.тормозит пока что меньше. но в рэдмонде работают над этим.
>подавляющее большинство виндузятников от неё плюютсяЗато я уже слышал тему, что "десяточка очень даже ничего" (не знаю то ли демку кто-то видел, то ли еще где-то пощупал). Т.ч. бедным виндузятникам осталось пострадать совсем немного, ничего, им не привыкать.
> то ли демку кто-то видел, то ли еще где-то пощупалбеты давно по интернетам расползлись. а вантузоидам не привыкать варез на помойках собирать.
>> то ли демку кто-то видел, то ли еще где-то пощупал
> беты давно по интернетам расползлись. а вантузоидам не привыкать варез на помойках
> собирать.варез варезом, но Technical Preview десятой винды уже давно можно скачать на сайте микрософта. я конечно понимаю, что у этого сайта другая ЦА, но всё-таки.
говорят, что кур доят. а ещё говорят, что из нашего линукса тоже скоро будет нормальный десктоп.
Сравните как тему представил промикросовтовский PCWorld:http://www.pcworld.com/article/2859122/your-linux-pc-isnt-as...
"Your Linux PC isn't as secure as you think it is... It demonstrates that, yes, Trojans can infect Linux systems. And, no, not having access to root won’t necessarily stop a piece of malware."
Этот троян просто разбил все надежды, что Linux безопасная платформа и раскрыл глаза что на самом деле никакой безопасности в нем нет :-)
> Сравните как тему представил промикросовтовский PCWorld:
> http://www.pcworld.com/article/2859122/your-linux-pc-isnt-as...
> "Your Linux PC isn't as secure as you think it is... It
> demonstrates that, yes, Trojans can infect Linux systems. And, no, not
> having access to root won’t necessarily stop a piece of malware."
> Этот троян просто разбил все надежды, что Linux безопасная платформа и раскрыл
> глаза что на самом деле никакой безопасности в нем нет :-)Иллюзия безопасности хуже ее полного отсутствия, чувак. А вы царствуйте дальше, лежа на боку. Мозги с IQ>140 же на этой планете ну просто на каждом углу валяются.
> Иллюзия безопасности хуже ее полного отсутствия, чувак. А вы царствуйте дальше, лежа
> на боку. Мозги с IQ>140 же на этой планете ну просто
> на каждом углу валяются.у меня на кровати валяются, примерно раз в сутки. по комплексному тесту айзенка (если ты в курсе, чем комплексный от «обычного» отличается) 156.
> у меня на кровати валяются, примерно раз в сутки.Она, я так понимаю, ещё и красивая, коли примерно раз в сутки. Хорошо!
>> у меня на кровати валяются, примерно раз в сутки.
> Она, я так понимаю, ещё и красивая, коли примерно раз в сутки.
> Хорошо!Это он про себя пишет.
Ты в самом деле подумал, что у arisu может быть подруга?
> Это он про себя пишет.это да. потому что у неё больше.
>> Это он про себя пишет.
> это да. потому что у неё больше.полушария?
кому что интересно.
> айзенка (если ты в курсе, чем комплексный от «обычного» отличается) 156.156? Круто. Хоть и обещает много проблем обладателю такой головы.
>> айзенка (если ты в курсе, чем комплексный от «обычного» отличается) 156.
> 156? Круто. Хоть и обещает много проблем обладателю такой головы.проблема одна: хочется УБИВАТ.
Идиот, тест IQ делают раз в жизни, в школе. Остальные попытки уже не канают.
Если ты с 50 раза разогнал себя до 150, то дели это на 50 :D
павлуша, тут и так народ в курсе, что ты идиот. можешь не стараться дополнительно это демонстрировать. сиди и молча пиши говнокод, зачем ты лезешь в разговоры?
> у меня на кровати валяются, примерно раз в сутки. по комплексному тесту
> айзенка (если ты в курсе, чем комплексный от «обычного» отличается) 156.а член у тебя случайно не 25см в расслабленном состоянии?
кто чем меряться привык…
Друже, в наше беспокойное время по факту ни у кого не осталось иллюзии безопасности. Но если заявления противоречат здравому смыслу и заведомо исходят от заинтересованного лица (эт я про дядь Женю), причём с явной коммерческой выгодой и сокрытием реальной инфы, то становится ясно, что работают мозги с таким IQ>140 в пустую, то бишь чтобы нажиться на других. А в таком случае дело неблагородное и в конце концов наказуемое.. У сильных "мира сего" IQ повыше будет, однако никто из них не дал бессмертия и мир людям. С другой стороны стабильность и надёжность как исходила из одного источника, так и исходит, несмотря на всё очковтирательство от Интеллекта с немыслимым IQ...
я просто вчера, как прочитал, все сервера на винду перевёл.
А где скачать? Когда в ебилдах появится?
Обратная сторона популярности: подтянулись придурки и барыги.
Первые качают апач с вареза, настраивают его по левому мануалу.
Вторые этим пользуются, строя бот-сети или пугая очень страшными вирусами.
Лаборатория Касперского прекрасно ловит только то, что написано у них в лаборатории.