LINUX.ORG.RU

OrBit - очередной зловред для линукса. Говорят, идёт волна зловредов.

 ,


0

3

Сабж

Эксперты специализирующейся на кибербезопасности компании Intezer Labs сообщили об обнаружении вредоноса OrBit для Linux, который пока выявляется не всеми антивирусными системами, крадёт конфиденциальные данные и заражает запущенные в системе процессы.

Как уточнили в Intezer Labs, OrBit изменяет переменную окружения LD_PRELOAD, что позволяет ему управлять загрузкой библиотек и перехватывать вызовы функций. Вредонос собирает логины и пароли, а также вводимые в терминале команды, и предоставляет злоумышленникам доступ по SSH. До недавнего времени OrBit не помечался антивирусными системами как опасное ПО, однако разработчики систем защиты уже начали вносить его в свои базы.

Отличительными особенностями вируса отмечаются хранение похищенных конфиденциальных данных в файлах на самой машине, а также почти «герметичное» подключение к библиотекам на заражённом ПК, что обеспечивает OrBit стабильную работу, возможность избежать обнаружения и поддерживать работу SSH-бэкдора.

Ресурс BleepingComputer отметил растущую «популярность» системы Linux в среде киберпреступников. Недавно был обнаружен вредонос Symbiote, который также использует LD_PRELOAD для заражения. Похожим образом работает и вирус BPFDoor — он скрывается под именами распространённых демонов, из-за чего он ускользал от внимания экспертов целых пять лет.

Пора ставить антивирус на линукс, или ещё рано?

★★★★★

Кстати почему в Linux не реализуют возможность отключения этого LD_PRELOAD удобно и без всякиз noexec, где-нибудь в конфиге /etc, например?

Практически каждый вирус или кейлоггер использует этот механизм.

EXL ★★★★★ ()

OrBit изменяет переменную окружения LD_PRELOAD

Unlike other threats that hijack shared libraries by modifying the environment variable LD_PRELOAD, this malware uses 2 different ways to load the malicious library

Предлагаю перманентно банить каждого, кто перепощивает говно с фейкньюс-ресурсов ixbt, 3dnews, cnews.

gremlin_the_red ★★★★★ ()
Ответ на: комментарий от RussianWarShip

Через неизвестную или известную дыру в ПО, например, вот эпичный обосрамс был в KDE со скрытыми по умолчанию .directory-файлами: Незакрытая уязвимость в KDE не так уж давно.

Внедрить сабжевый эксплоит с уязвимой версией KDE/Dolphin (а это все версии KDE до 2019 года) банально: я кидаю тебе ZIP-архив с кошкодевочками, ты ничего не подозреваешь, два раза кликаешь по нему и заражаешь свою тачку этим Orbit’ом, иксовым кейлоггером и пр. барахлом.

EXL ★★★★★ ()
Последнее исправление: EXL (всего исправлений: 2)
Ответ на: комментарий от her_s_gory

Ты внимательно прочитал моё сообщение? Понял, откуда вторая цитата и чем она, кхм, «немного» отличается по смыслу от первой?

gremlin_the_red ★★★★★ ()
Ответ на: комментарий от EXL

Прикольно, похоже на багофичу проводника в офтопике с загрузкой dll для показа иконки.

RussianWarShip ()

Чего там со способом распространения? Опять качать с торрентов и запускать из-под рута?

thesis ★★★★★ ()

Было бы интересно, если бы какой зловред встраивался в gcc и добавлял себя к компилируемым бинарникам. И если бы такой зловред попал бы на машину к мейнтейнеру. Вот это было бы весело

r0ck3r ★★★★★ ()
Ответ на: комментарий от EXL

Ровно та же причина была и в Наутилусе и, по моему, в Тунаре. И там ещё и с иконками предпросмотра что-то было. Проблема вселинуксовая и так уж выпячивать Дольфин есть сексуальное неравноправие.

R_He_Po6oT ★★ ()
Ответ на: комментарий от RussianWarShip

А на машину вирус как попадает?

Его нужно ручками поставить самому, собственно как все так называемые вирусы под линь.

Aleksandra ()

Опять один из тех вирусов, которые нужно скачать, собрать (причем не с первого раза), а потом запустить из-под рута?

Dog ()
Ответ на: комментарий от EXL

почему

Какой смысл в половинных решениях, которые только создадут иллюзию безопасности? Нужно как минимум ещё запрещать LD_AUDIT и LD_LIBRARY_PATH. И если с запретом LD_AUDIT и LD_PRELOAD жить терпимо, запрет LD_LIBRARY_PATH станет очень неудобным. Ещё RPATH и RUNPATH нужно запретить, так как довольно много систем использует софт, который работает из мест, доступных пользователю на запись. Нужно предотвратить запись в .bashrc и прочие подобные файлы.

Безопасность это сложно.

i-rinat ★★★★★ ()
Ответ на: комментарий от r0ck3r

Была такая тема давненько для Делфей. Довольно много прог заразилось :)

Alden ★★★ ()

OrBit изменяет переменную окружения LD_PRELOAD,

Где именно он её изменяет? В каком файле/процессе/…? Т.е. куда смотреть, чтобы обнаружить заражение?

dimgel ★★★★ ()
Последнее исправление: dimgel (всего исправлений: 1)

Говорят, идёт волна зловредов.

Говорят, не повезёт.
Если чёрный кот дорогу перейдёт.
А покаааа наоборот. Туту туду туду туту.
Только черному коту и не везёёёёёёёёт.

LINUX-ORG-RU ★★★★★ ()
Ответ на: комментарий от EXL

В астре из коробки отключено в консистентном режиме запуска, как и ptrace :)

faq2 ()
Ответ на: комментарий от tiinn

А для других чем не красиво то ? Приведенный вами пример с заражением абсолютно всех asm как раз менее красив. Кмк красивее варианты когда не касаются проектов пользователей, например в stdio.h и т.п.

anc ★★★★★ ()
Ответ на: комментарий от anc

Тем, что исходник нельзя получить из машинного кода прямым дизассемблированием.

tiinn ★★★★★ ()

Я поставлю Nod32 только когда будут попытки списания с моих пустых банковских карт, когда успокоюсь от истерического смеха.

xwicked ★★ ()
Последнее исправление: xwicked (всего исправлений: 1)
Ответ на: комментарий от Aleksandra

Принцип Джо работает.

А так даже в линуксах была крутая пробивка через PDF.js со сливом личных данных с машины.

fornlr ★★★★★ ()
Ответ на: комментарий от thesis

Чего там со способом распространения? Опять качать с торрентов

Конечно нет. Кому линуксовый десктоп сдался.

fornlr ★★★★★ ()

Рута как зловред получает?

burato ★★★★★ ()

А вирус сильно легче подцепить, чем случайно набрать патч Бармина?

ados ★★★★★ ()
Ответ на: комментарий от anc

ну, чего мелочиться, тогда лучше интересные мысли в голову Линуса. Что-то типа «пользовались моим творением на халяву - теперь платите» и шифрование всех разделов на всех линуксах во всем мире во имя добра

r0ck3r ★★★★★ ()
Ответ на: комментарий от r0ck3r

Не, это не интересно, тут как бы сразу диагноз. В случае с вирем гораздо интереснее, как попал, зачем попал, скандалы, интриги, расследования. :)

anc ★★★★★ ()
Ответ на: комментарий от Aleksandra

Я сомневаюсь, что кто-то понял, что это за флаг 🙂

fornlr ★★★★★ ()
Для того чтобы оставить комментарий войдите или зарегистрируйтесь.