- История развития компьютерных вирусов для Unix-подобных систем
- Концептуальная составляющая
- Где же уязвимость?
- Основные способы заражения
- Основные этапы «заражений» Linux (ну, или запасные — мой субъективный взгляд)
- Напоследок!
- Опасные вирусы для Linux
- 1. Linux.Encoder
- 2. Linux.Mirai
- 3. Linux.NyaDrop
- 4. Linux.BackDoor.Gates
- 5. Linux.Lady
- 6. Linux.DnsAmp
- 7. Linux.Hanthie
- 8. Linux.Myk
- 9. Linux.Rex
- 10. Linux.Sshcrack
- 11. Linux.Rekoobe
- 12. Linux.Ellipsis
- 13. Linux.Ekoms
- Выводы
История развития компьютерных вирусов для Unix-подобных систем
Говорим о вирусах в эпоху пандемии.
Disclamer: статья написана начинающим для начинающих! Если Вы уже сформировавшийся специалист, ничего нового Вы тут, скорее всего, не найдёте. Однако, если прочитаете, критика (желательно конструктивная) приветствуется.
Концептуальная составляющая
Большую часть рынка десктопных операционных систем занята семейством операционных систем Windows. Однако с развитием рынка мобильных устройств и различных технологий, подразумевающих клиент-серверное взаимодействие, на арену уже относительно давно вышли Unix-системы. Подробную статистику за последние 10 лет можно посмотреть, например, здесь.
Первые компьютерные вирусы. Здесь остановимся и, чтобы заранее не создавать напряжённой атмосферы, условимся вирусом называть везде, где это не оговорено особо (разумеется, для краткости), любое вредоносное программное обеспечение (по-английски «malware»), способное внедряться много куда: в код программ, в системные области памяти и т.п. и распространять там свои копии — реплицировать себя. То, что вредоносное программное обеспечение будет делать дальше, зависит от фантазии и цели его написавшего. Именно компьютерный вирус — маленький подкласс таких программ. К тому, какие они бывают, мы вернёмся позже.
Итак, форточку открыли, проветрили. Продолжаем.
Первые компьютерные вирусы появились ещё в середине прошлого века — ещё фон Нейман предложил первые способы написания таких программ. А теперь сориентируемся с временными рамками: первые Unix-подобные системы появились в 1970(69) году в Bell Laboratories AT&T (для тех, кто любит переходить по ссылкам, как я, вот ссылка на краткую ленту времени развития).
… Unix was born in 1969 not 1974, and the account of its development makes a little-known and perhaps instructive story.
Source: The Evolution of the Unix Time-sharing System, an account of developments during 1968-1973 — Dennis M. Ritchie
. А первые вирусы под эти системы появились уже в 1984 году (как сказал однажды ведущий BBC Джереми Кларксон: «В 80-е время текло медленнее») в ходе экспериментов — вот она, человеческая любознательность.
Итак, сформулируем основные концепты данной статьи, чтобы можно было быстро промотать к интересующему кусочку.
Что делает Unix-подобные системы (будем говорить в большинстве своём о Linux-системах) уязвимы к вирусам?
Какие виды вредоносного программного обеспечения существуют под Linux (обзорно, но с примерами)?
А можно ли как-то защититься от заражения?
Примечание: если Вы вдруг не понимаете, в чём разница Unix и Linux, прочтите перед дальнейшим данный этюд.
Где же уязвимость?
Чтобы лучше понять, откуда растут корни проблемы, отправимся в путешествие во времени. На дворе был 1996 год, когда появился первый вирус Staog — именно вирус, — для ядра Linux, который написал VLAD, хакер из Quantum (они, кстати, чуть ранее написали вирус для Windows 95). Пока нам не так важно, как был написан этот вирус (на ассемблере), нам важно, как этот вирус заражал систему: вирус пытался получить привилегии суперпользователя.
А теперь притормозим, и разберёмся, кто такой суперпользователь, и зачем он нужен.
Типы пользователей Linux-систем
Кратко о системе разделения привилегий Linux.
Если не рассматривать сервис-юзеров (учётные записи служб), то существует 2 основных вида пользователей на ОС, базирующихся на Linux-ядре:
root-пользователи, суперпользователи — основной вид пользовательской записи в Linux, который позволяет заниматься администрированием системы и получить доступ к любой системной службе. Не может быть удалена.
обычный пользователь — такие пользователи имеют доступ только авторизированным ресурсам системы и могут выполнять ограниченное количество действий. Таких записей может быть создано и удалено любое количество.
Чтобы оказать влияние на систему, необходимо получить привилегии супер-пользователя. Пока пользователь не начнёт работу с root-привилегиями, система разграничения прав не даст вирусу возможности причинить системе какой-либо вред — без получения прав суперпользователя вредоносная деятельность вирусов сводится к слежению за действиями пользователя.
Возвращаясь к Staog, который использовал ошибки в программном обеспечении такие, как
ошибку переполнения буфера в команде mount;
ошибку переполнения буфера в программе dip;
уязвимость в интепретаторе perl, связанную c битом SUID ,
меняя атрибуты чтения и записи некоторых файлов, делая их доступными для обычного пользователя.
Основные способы заражения
Вредоносное программное обеспечение может попасть на компьютер многими способами. Перечислим некоторые из них:
Бинарные файлы и исходные коды, полученные из сторонних репозиториев. Shell scripts (скрипты оболочки), которые помогают установке программ на Linux-системы, часто запускаются, используя права суперпользователя, имеют доступ к файлам системы. Вместо актуальной версии может быть установлена библиотека-обманка.
Методы social engineering (подробнее можно посмотреть здесь) — некие техники, использующие слабости человеческой психики, эксплуатируя ошибки, совершаемые полльзователем на этой почве, чтобы получить доступ к его данным, правам доступа или ценным данным. Самый простой и известный пример такой страшной техники — фишинг.
Также стоит заметить, что под Linux работают и вредоносное ПО Windows (здесь мы передаём «привет» Wine), правда живут они (по некоторым причинам: возможно, стандартные методы запуска программ в Windows в Linux не работают) до перезагрузки системы.
В наши дни разработчики программного обеспечения мониторят свои репозитории на наличие уязвимостей, жить становится безопаснее!
Небольшое отступление о том, что такое кибератака
Перечислим здесь некоторых представителей классов атак по сторонним каналам — вида атак, направленных на поиск и использование уязвимостей в практической реализации киберсистемы.
Кибераналитик получает контроль над вычислительным процессом, активный или пассивный (в зависимости от того, оказывается ли какое-то воздействие над этим процессом);
Кибераналитик может получать доступ к вычислительному процессу различными способами: получать доступ напрямую к вычислительным компонентам, осуществляя контроль над внешними источниками электропитания или временем исполнения процесса, или использовать внешне доступную информацию.
По-разному анализруя полученную от системы информацию, кибераналитик имеет возможность исследовать данные процесса напрямую или с использованием статистических методов.
Многие описанные ниже атаки экспуатируют «уязвимости нулевого дня» у системы, какие-либо баги или особенности системы, манипуляция которыми может привести к системным ошибкам — спровоцировать системное поведение, выгодное кибераналитику.
Основные этапы «заражений» Linux (ну, или запасные — мой субъективный взгляд)
Данный раздел базируется на материалах данного блога — спасибо, что он есть; там есть всё, что нужно, если Вы — программист: сниппеты кода и подробное их описание. Мы же здесь собрались с точки зрения истории, так что обсуждаем качественную сторону вопроса.
Вообще, вирусов, которых мы, обычные пользователи, представляем в жизни, на Linux уже почти не осталось.
Тот самый Staog, о котором шла речь выше, много компьютеров не заразил, отделавшись малым (компьютеров много под Linux тогда и не было), и был быстро обезврежен. Однако его влияние не стоит недооценивать, он сделал маленький шаг для вируса, но большой шаг для всего сообщества: показал, что ядро Linux способно быть поражено вирусом. И тут началось.
В 1997 году вышел Bliss — вирус, который прикреплялся к исполняемым файлам в системе и препятствовал их запуску. Опять же, для таких манёвров ему требовался root-доступ. Вроде бы ничего, а вот для Debian угроза от этого вируса присутствует до сих пор, однако она минимальна.
Для того чтобы не заразиться этим вирусом, достаточно просто
Не пользоваться root-правами. И это не шутка.
В 1999 году. ничего не произошло такого значимого, зато пошутили хорошо: вышел некий вирус (или это был hoax, мнения в Интернете разнятся) Tuxissa, который делал примерно следующее: пользователю на почту (пользователь на Windows, где ж ему ещё быть) приходило письмо с важным сообщением о безопасности системы. Пользователь кликал на него (а Вы бы кликнули?), загружался вирус, затирая реестр, и в конце концов компьютер перезагружался, и на экране появлялся терминал Linux. Будем надеяться, что это была только первоапрельская шутка.
Зато богатым на всякое разное вредоносное ПО выдался 2001 год. Помимо всяких червей (Worms), .
Сетевой червь — разновидность вредоносной программы, самостоятельно распространяющейся через локальные и глобальные (Интернет) компьютерные сети.
. например, ZipWorm, который просто цеплял себя ко всем .zip-файлам в текущей директории, появились, наконец, и более опасные вирусы, как, например, Ramen. Тут остановимся чуть подробнее. Это один из первых вирусов, который был многокомпонентным, каждый компонент выполняла определённую функцию. Червь копирует себя в Linux-систему в виде файла ramen.tgz.
Червь получает доступ к Web-серверу, используя по крайней мере одну (из нескольких) известную уязвимость в системе безопасности. Как только получен root-доступ, червь извлекает и записывает себя на главный компьютер, используя исполняемые файлы в формате ELF и shell-скрипты, которые выполняют команды для поиска доступных серверов в интернете. Так червь реплицируется дальше.
В настоящий момент найти вирусы на Linux, которые базируются на взаимодействии с пользователем, достаточно сложно. Зато достаточно распространены DoS- и DDoS -атак. Одна из самых первых известных таких атак была совершена хакером MafiaBoy 7 февраля 2000. Он получил несанкционированный доступ к 50 сетям, установив на них своё программное обеспечение Sinkhole, чтобы зафлудить (заполнить большим количеством чего-либо, обычно ненужного) сайты-мишени плохим трафиком.
Следующее значимое событие, которое оказало влияние на развитие разработки вредоносного ПО, — операция Windigo. Речь идёт про 2014 год. Эта организация осуществляет сложную и крупномасштабную киберпреступную деятельность, осуществляемую тысячами серверов Linux. Windigo заставляет сервер генерировать спам, передавать вредоносные программы и перенаправлять ссылки.
Вот исследования компании ESET насчёт данной группировки, которая даже функционирует на данный момент:
На данный момент среди вредоносного программного обеспечения распространены бот-неты.
Бот-нет (Bot-net) — компьютерная сеть, состоящая из некоторого количества хостов с запущенными ботами — автономным программным обеспечением. Слово Botnet (ботнет) образовано от слов «robot» (робот) и «network» (сеть). Киберпреступники используют специальные троянские программы, чтобы обойти систему защиты компьютеров, получить контроль над ними и объединить их в единую сеть (ботнет), которой можно управлять удаленно.
Одним из самых известных ботнетов является Mirai (от яп. «будущее») Существования его стало возможным благодаря реализации уязвимости, которая заключалась в использовании одинакового, неизменного, установленного производителем пароля для доступа к учетной записи администратора на «умных» устройствах.
Не используйте, пожалуйста, на своих устройствах пароли по умолчанию.
Всего он использует 61 различную комбинацию логин-пароль для доступа к учетной записи методом перебора (Wikipedia).
Напоследок!
Если Вы дочитали мою первую статью, оставьте, пожалуйста, комментарий, покритикуйте, пожалуйста. Также очень рад всем предложениям по улучшению статьи.
Но даже на примере уже мною написанного этюда видно, насколько своеобразно развивалась разработка malware на Unix-подобных (в данном случае, Linux-системах, так как они более распространены и используются в процессе обучения) операционных системах.
Источник
Опасные вирусы для Linux
С давних времен между пользователями ходят споры есть ли вирусы для Linux и если есть, то стоит ли использовать антивирусы на своем компьютере. Операционная система Linux спроектирована таким образом, чтобы быть максимально безопасной и защищенной от вирусов.
Она действительно намного безопаснее Windows и менее подвержена атакам вирусов и вирусам. Но разработчики — тоже люди и иногда они ошибаются. Из-за недосмотра или еще по каким-либо причинам в системе появляются уязвимости, которые могут быть использованы вирусами. В наши дни Linux стремительно набирает популярность. Если на персональных компьютерах она используется не так часто, то на серверах Linux занимает лидирующие позиции, а теперь еще и на различных IoT устройствах, которых становится все больше.
Хакерам становится все выгоднее делать вирусы для Linux. Ими сложнее заразиться чем в Windows, и в большинстве случаев они используют уже устраненные в новых версиях linux и всем известные уязвимости для проникновения в систему, а также недочеты в настройке.
Так что если ваша система правильно настроена и вовремя обновляется, то вам нечего бояться. Но многие IoT устройства, роутеры или серверы долго не обновляются, и именно они становятся жертвами таких вирусов. В нашей сегодняшней статье мы рассмотрим самые опасные вирусы для Linux, которые появились за последние несколько лет.
1. Linux.Encoder
Linux.Encoder известный, как первый шифровальщик для операционных систем на базе ядра Linux. Распространение вируса началось 5 ноября 2015 года. Используя различные уязвимости в системе вирус шифровальщик linux проникал на сервер и зашифровывал все доступные для записи файлы с помощью симметричного шифрования AES и RSA.
Открытый ключ, которым было выполнено шифрование доступен всем, а вот за закрытый, нужный для расшифровки, злоумышленники требовали деньги в валюте bitcoin. Основным путем для проникновения в систему для этого вируса была уязвимость в популярной CMS для создания онлайн магазинов — Magento. Естественно, уязвимость была давно закрыта, но не все небольшие ресурсы установили обновление, за что и поплатились.
Было обнаружено несколько версий вируса Linux.Encoder.0, Linux.Encoder.1 , Linux.Encoder.2. Но для всех из них со временем были найдены способы расшифровки файлов.
2. Linux.Mirai
Первая версия Linux.Mirai была обнаружена в мае 2016. У него совсем другая специфика работы. Вирус не причиняет вреда владельцу устройства и пытается остаться незамеченным. Он нацелен больше на IoT устройства, под управлением Linux, которые подключены к сети интернет и использует их для осуществления DDoS атак. Пользователь, скорее всего, ничего не заметит кроме существенного снижения пропускной способности сети.
Попадает вирус на машину путем совсем простым. Он ищет устройства на которых работает служба telnet с доступом без пароля или паролем по умолчанию. Linux.Mirai находится на устройстве до перезагрузки. Но если логин и пароль telnet не были изменены, то устройство будет инфицировано снова.
Этот вирус еще известен под именами Bashlite, GayFgt, LizKebab, Torlus, Bash0day и Bashdoor. Именно с помощью ботнена, организованного этим вирусом были осуществлены несколько нашумевших DDoS атак этой осенью. Как бы то ни было, но успех Mirai вдохновил хакеров разрабатывать другие linux вирусы, для организации DDoS атак.
3. Linux.NyaDrop
Это еще один троян, который инфицирует IoT устройства под управлением Linux точно так же, как это делает Mirari. Он не просто ищет устройства без пароля, но и пытается перебрать самые часто используемые пароли для telnet, чтобы попасть на устройство.
Работает вирус немного другим образом, после проникновения на устройство, он загружает исполняемые файлы бэкдора, который позволяет получить удаленный доступ к устройству. Пока что инициируются только роутеры на архитектуре MIPS, но в будущем вирус может расширить круг своих жертв. Хакеры смогут использовать зараженные устройства не только для DDoS атак, но и, например, в качестве прокси.
4. Linux.BackDoor.Gates
Этот троян для Linux был обнаружен еще в мае 2014. Он атакует устройства, под управлением 32 битной версии операционной системы Linux. Вирус состоит из двух частей, бэкдора, который позволяет злоумышленникам выполнять на вашем компьютере необходимые ему команды, а также DDoS бота. Основное предназначение, как и у двух предыдущих — проведение DDoS атак.
В процессе работы вирус передает злоумышленникам много данных о вашей системе, среди них: количество ядер, скорость CPU, использование CPU, MAC адрес, информация о сетевых интерфейсах, объем памяти, объем передаваемых и получаемых данных.
5. Linux.Lady
Еще один троян для операционных систем семейства Linux обнаруженный в октябре 2016. Он написан на новом языке, разработанном в корпорации Google. Он заражает серверы через неправильно настроенную программу Redis. Троян способен сам распространяться от машины к машине и постоянно исследует сеть на наличие уязвимых компьютеров.
Кроме распространения и заражения других машин, у этого вируса есть еще одна задача, он майнит криптовалюту на вашей машине, тем самым расходуя ваши ресурсы процессора и памяти.
6. Linux.DnsAmp
Этот троян для Linux был обнаружен еще в 2014 году, он может заражать как 32, так и 64 битные системы Linux. После заражения вирус прописывает себя в автозагрузку через /etc/rc.local и начинает ожидать команд от сервера. Основная цель вируса — участие в DDoS атаках.
Попадая на вашу машину, как и другие linux вирусы, он отправляет на свои сервера информацию о ней, например, объем памяти и количество swap пространства, а также другие характеристики.
7. Linux.Hanthie
Троян для Linux, обнаруженный еще в 2013 году, сам распространяться не умеет, но может попасть на компьютер путем социальной инженерии. После запуска прописывается в автозагрузку и пытается подключить свою библиотеку ко всем процессам.
Вирус подключается ко всем браузерам и следит за трафиком HTTP и HTTPS перехватывая и отправляя злоумышленникам данные форм, которые заполняет пользователь. Также он предоставляет злоумышленникам доступ к вашей системе и имеет средства защиты от антивирусов и обнаружение запуска в виртуальных окружениях.
8. Linux.Myk
Еще один троян для операционных систем Linux, созданный китайскими программистами. Как и Mirori, этот вирус предназначен для организации DDoS атак, но также может предоставить злоумышленнику доступ к вашему компьютеру. Характерная особенность этого вируса в том, что он способен отключать брандмауэр. Инфицирование осуществляется с помощью социальной инженерии. Впервые вирус был обнаружен весной 2015.
9. Linux.Rex
В 2016 году появилось несколько вирусов для Linux, написанных на новом языке от Google — Go. Вирус инфицирует сервера, под управлением различных систем управления контентом, используя обнаруженные в них уязвимости. Он может рассылать электронные письма и самостоятельно искать уязвимые сервера. Чаще всего вирус заражает серверы с Durpal, WordPress, Magento, JetSpeed, в которых не исправлены уязвимости. В WordPress вирус пытается использовать уязвимые плагины WooCommerce, Robo Gallery, Rev Slider, WP-squirrel, Site Import, Brandfolder, Issuu Panel и Gwolle Guestbook. Для сайтов Magento используются уязвимости CVE-2015-1397, CVE-2015-1398 и CVE-2015-1399.
Он используется злоумышленниками для организации DDoS атак, способен собирать доступную информацию о сервере, в том числе логины и пароли пользователей. Также вирус рассылает email сообщения с угрозой DDoS атаки и требует выкуп.
10. Linux.Sshcrack
Эта вредоносная программа пытается заразить как можно большее количество устройств путем перебора паролей ssh. Когда программа получает доступ к новому компьютеру, она запускает на нем 200 потоков, выбирает случайный адрес и пытается перебрать ssh пароль для него. Перебор осуществляется по словарю, в котором есть более 10000 значений.
11. Linux.Rekoobe
Этот простой вирус для Linux был обнаружен в ноябре 2015. Он способен выполняться на машинах с архитектурой x86 и x64, хотя изначально был разработан только для SPARC. Вирус распространяется путем социальной инженерии, и может даль злоумышленнику доступ к вашему компьютеру, а также способен загружать на ваш компьютер различные файлы и передавать команды интерпретатору команд linux.
12. Linux.Ellipsis
Этот вирус создает на инфицированном сервере или компьютере с операционной системой Linux прокси-сервер, с помощью которого злоумышленник может делать нужные ему действия в сети и оставаться незамеченным. Вирус распространяется путем перебора логина и пароля к службе удаленного доступа — ssh.
В процессе работы вирус отключает iptables и мешающие ему программы, ведение логов. А также передает контроль над вашим компьютером злоумышленникам.
13. Linux.Ekoms
Этот вирус под Linux передает злоумышленникам снимки вашего экрана каждые 30 секунд. Также может загружать на сервер содержимое папки /tmp. Кроме снимков экрана, вирус может записывать звук. Заражение машины, как и во многих других способах выполняется путем социальной инженерии.
Выводы
Как видите, вирусы и операционные системы linux, вещи все же совместимые. За последнее время их появилось очень достаточно много. Другое дело, что они ориентированны, либо на уязвимые и не обновляемые системы, IoT устройства, или социальную инженерию. Это не повод ставить антивирус, но это не значит что нужно терять бдительность и расслабляться. Не забывайте обновлять свою систему вовремя, особенно если у вас есть сервер. А как вы относитесь к вирусам в Linux? Напишите в комментариях!
Источник