Linuks I Maliciozni Programi

[0] Intro

* Napomena: Ako pri čitanju članka nai ñete na neke nepoznate pojmove, preporu čujem čitanje Malog Re čnika Zaštite (http://www.mycity.rs/Zastita/Mali-recnik-zastite.html) kako bi se informisali o tim pojmovima ili možda rešili neke nedoumice po pitanju razgrani čavanja pojmova.

Rešio sam da malo prou čim kakvo je stanje na Linuksu po pitanju malicioznih programa ( malware -a) i da ovim člankom utvrdim " malware scenu" Linuksa. Da bih to istražio morao sam da pose ćujem razli čite underground sajtove na kojima sam mogao da na ñem razne maliciozne programe.

Kao što znamo, Linuks generalno važi za bezbedan operativni sistem, ali ipak nije u potpunosti imun na malware . U članku će biti opisani razlozi zašto je to tako, na čini zaštite, inficiranje u realnom vremenu, pokušaj dezinfekcije i neki generalni saveti i utisci.

Kod pojedinih stvari će biti napravljena paralela sa operativnim sistemom Windows .

Bobby me je, tako ñe, snabdeo sa razli čitim uzorcima malware -a za Linuks u vidu ELF datoteka, shell i perl skripti koje sam testirao na virtualnoj mašini, a neke na fizi čkoj mašini (testirani malware ne ću da imenujem, ve ć ću ga pomenuti u generi čkom smislu).

Za svaki operativni sistem je mogu će napraviti malware koji će uništiti, tj. onesposobiti taj operativni sistem. Me ñutim, moderni malware ima tendenciju da preuzme kontrolu nad ra čunarom (tj. da napravi zombija) kako bi poslužio nekoj svrsi tvorcima malware-a ili kako bi se pokrali neki podaci.

Što se ti če onesposobljavanja operativnog sistema, najlakše ga je onesposobiti tako što mu se zauzmu resursi.

Na primer, pretpostavimo da operativni sistem ima više korisnika, i da korisnicima nije odre ñena quota za raspoloživ prostor na disku. Postoji PoF (proof of concept) malware koji prodire na sistem, i kreira izuzetno veliki broj malih fajlova, sve dok ne popuni File Alocation Table (FAT ili ekvivalentan na datoj particiji) čime prakti čno blokira mogu ćnost kreiranja datoteka ostalim korisnicima.

Druga mogu ćnost je kreiranje ogromnog broja programskih niti (thread ova) ili procesa, sve dok se ne popuni limit broja procesa/ thread ova koje kernel može da kreira. Time se blokira rad gotovo svih aplikacija na ra čunaru. Ovaj napad se zove " Fork Bomb " ( Fork je isto što i Thread kod Windows a). Onda, postoje i bombe za antivirus programe. Jedna od najpoznatijih je ZIP bomb .

Predstavlja posebno osmišljenu ZIP datoteku (veli čine svega par kB) kome je struktura direktorijuma tako napravljena da se vrti u krug, usled čega antivirus bude beskona čno dugo zaposlen skeniranjem te arhive. U slu čaju Linuksa - postoji TAR.GZ bomba .

[1] Tvr ñava

Linuks predstavlja tvr ñavu koju je, u principu, teško probiti iz slede ćih razloga:

1. postojanje velikog broja distribucija, forkova, derivata (recimo Debian --> Ubuntu --> Mint i sl.) koje, opet, imaju razli čite na čine instalacije paketa i softvera, dolaze sa razli čitim grafi čkim okruženjima, ... Dakle, razli čitost je jedna od linija odbrane.

2. *NIX operativni sistemi su "od starta" osmišljeni kao višekorisni čki i bezbedni operativni sistemi. Svaki korisnik ima svoje privilegije i može da manipuliše sa onim datotekama za koje ima privilegije. Da bi malware mogao da zarazi celokupan sistem, potrebna mu je privilegija root -a (privilegija najvišeg nivoa). Dakle, za pravljenje "ve će štete" je neophodan root pristup ra čunaru. U ve ćini slu čajeva malware ima opseg home particije teku ćeg korisnika i može da manipuliše (i pravi štetu) nad datotekama teku ćeg korisnika (korisnika koji je ulogovan). (zabranjeno)er ima je još uvek enigma kako pribaviti pristup root nalogu.

3. i Linuks ima svoje ranjivosti (recimo: postojanje neažurnih biblioteka), ali Linuksov mehanizam ažuriranja sistema i aplikacija (što zavisi od distribucije do distribucije) i aktivnosti zajednice doprinose da se neažurne datoteke brzo zamene novijim. Za razliku od Windows a, gde moramo ažurirati svaku aplikaciju pojedina čno, kod moje distribucije se ažuriranje svih aplikacija na najnovije verzije vrši samo uz par klikova mišem. Time se izbegavaju ranjivosti neažurne aplikacije, kriti čne za bezbednost sistema.

4. upotreba softverskih repozitorijuma zna čajno smanjuje opasnost od malicioznih programa. Stoga nema pojava rogue softvera niti trojanaca koje možemo "zaka čiti" na razli čitim mestima na Internetu jer se o repozitorijima stara tim održiva ča ( maintainers ), koji prakti čno garantuju da je softver legitiman.

5. što se ti če open source softvera i exploit a, primarna prednost open source modela je što kôd može pro čitati svako, tj. dostupan je svakome. A više pogleda na kôd može izna ći i potencijalne bezbednosne probleme.

Zbog ovih razloga još uvek nema masovnih infekcija na Linuksu (za razliku od Windows a).

[2] Napad na tvr ñavu!

S obzirom na stavku 1.1 pisci malware -a su prinu ñeni da napišu takav malware koji će da funkcioniše na razli čitim distribucijama. Jedan od na čina je da se koristi kôd koji se pokre će sa nekim interpreterom (na primer Perl skripta) ili kôd koji treba kompajlirati. Iz ovoga vidimo da pisci malware -a pretpostavljaju da je instaliran Perl ili pak GCC (ili drugi), jer ako iste nemate instalirane, ne ćete mo ći pokrenuti malware . Tvr ñavu je još teže napasti ako imamo u vidu da Linuks skripte po defaultu nisu podešene kao executable (isto važi i za ELF datoteke).

Po Wikipediji trebalo bi da do danas postoji oko 1000 uzoraka malware -a za Linuks. Dosta njih predstavlja samo " proof of concept ", dakle, malware samo pokazuje mogu ćnost da se nešto uradi ali ne pravi štetu. Ostali koje sam pokretao su relativno stari (najviše do 2008. godine) i ga ñaju rupe koje su odavno zakrpljene, ali ima tu i funkcionalnog malware -a. Recimo, virusi; na Internetu se mogu na ći izvorni kodovi virusa (pa čak i tutorijali) koji zaista mogu da rade u dozvoljenom opsegu, a ako dobiju root pristup mogu da zaraze sve izvršne datoteke na ra čunaru! Teoretski, poznavalac programskog jezika C može, uz minimalne modifikacije postoje ćih izvornih kodova za viruse, napisati svoj virus i dati mu ime (tako da je broj oko 1000 uzoraka, vrlo upitan )

Kao što rekoh, pisci malware se najviše bave pribavljanjem root privilegije. U "podzemlju" sam video da postoje tzv. local root exploits koji su posebna filozofija (svaka verzija kernela ima zasebnu temu) i koji se vezuju za specifi čne verzije Linuks kernela (recimo 2.2 ili 2.4). Dakle, ni ovde nema nekog univerzalnog pristupa jer su exploit i usko specifi čni za kernel.

Pod pretpostavkom da je malware dobio sve neophodne privilegije, jedan od na čina pokretanja je kroz crontab . Susretao sam se i sa malicioznim screensaverim a koji su usput pokušavali da pokrenu malicioznu skriptu.

Postoje i exploit i za aplikacije, recimo OpenOffice dokumenta sa makro kôdom ( Document malware ). Od 2007. godine su registrovani pokušaji da se napiše multipltformski malware . Jedan na koji sam naišao predstavlja proof of concept i teoretski se može izvršiti na Windows u, Linuks i MacOS-u (kažem teoretski jer i on pretpostavlja postojanje Perl a odnosno Ruby -ja. Za Windows je dovoljan samo dvostruki klik )

Na Internetu sam malo tražio i utiske napadnutih korisnika, kao i onih koji su pokušavani biti napadnuti. Obi čno je re č o nekom backdoor u ( perl trojancu, npr.) ili ranjivostima sistema ( ssh , telnet ) usled čega ra čunar treba da postane deo botnet mreže na IRC kanalu kako bi služio za DDoS napade ili kao server za pirateriju. Korisnici uglavnom otkriju čudno ponašanje računara - zakucavanje procesora na 100% (recimo iz foldera /tmp/ ), te pove ćana mrežna aktivnost.

Za Linuks nije karakteristi čano širenje virusa, s obzirom na pomenuta ograni čenja ve ć su neki drugi tipovi malware -a zastupljeni na njemu, na primer trojanci, crvi i rootkit ovi.

Posebnu pažnju sam posvetio rootkit ovima jer kod Unix ovih naslednika rootkit ovi uklju čuju i razli čite metode napada trojancima, sniffing a i drugo, pa je dobro ovako kumulativno obraditi ovu pri ču. Na Unix sistemima rootkit ovi se spominju od 1990-ih godina i ovaj naziv se preneo i na ostale operativne sisteme (dakle, prvi rootkit ovi su pisani za Unix ). Iako po svojoj definiciji nisu maliciozne prirode, ovde će biti razmatrani u zlonamernog kontekstu.

Za Unix i naslednike postoje 3 klase rootkitova:

1) binarni rootkitovi - cilj im je da zamene odre ñene sistemske datoteke sa trojancima.

Naime, kriti čne sistemske datoteke ( /bin/login i sl. ) se kompromituju kako bi se obezbedio udaljeni ili lokalni pristup mašini. Prvi rootkit ovi su bili binarni rootkit ovi koji su predstavljali tar arhive popularnih sistemskih datoteka koje admin koristi. Tako ñe, dizajnirani su tako da sakriju maliciozne procese od korisnika.

Obi čno su prekompjalirani za odre ñenu arhitekturu (Intel i386, Sparc i sl.).

Zamenom datoteka, rootkit ima cilj da:

• Pribavi root pristup ra čunaru. Dakle, u prošlosti se ubacivao trojanac na poziciju /bin/login ili SUID datoteke (/bin/ping, /usr/sbin/traceroute, /bin/su i druge) kako bi se pribavile root privilegije

• Omogu ći sakrivanje procesa. Ubacivanjem trojanca na /bin/ps (na primer).

• Omogu ći sakrivanje konekcije. Ubacivanjem trojanca na /bin/netstat (primer)

• Omogu ći sakrivanje datoteka. Trojanovani ls, dir ili cat, mogu da sakriju maliciozne datoteke.

Rootkit ovi ovoga tipa uklju čuju i dodatne alate za modifikovanje atributa tipa datum kreiranja (tj. timestamp ) i veli čina datoteke. Na primer preko komande touch , timestamp jedne datoteke se može dodeliti drugoj (malicioznoj): touch -r prvobitna_datoteka trojan_datoteka

2) kernel rootkitovi - manipulišu sa modulima kernelima ili predstavljaju dodatne maliciozne module koji se zaka če (hook ) na kernel.

Za razliku od binary rootkit ova koji zamenjuju legitimne sistemske izvršne datoteke, LKM ( Loadable Kernel Module ) rootkit ovi se zaka če ( hook uju) na kernel sistema i zamenjuju (remapiraju) ili izmene (tj. presre ću) pozive kernela. Na ovaj na čin, prakti čno celi operativni sistem postaje nepouzdan.

Ukoliko aplikacija treba da pristupi nekom hardveru, taj svoj zahtev će izraziti u vidu sistemskog poziva (na primer za čitanje datoteke: read() ; ) na osnovu čega kernel omogu ćava pristup datoteci na disku. *nix sistemi imaju sli čnu listu sistemskih poziva (koja se obi čno nalazi na lokaciji /usr/include/sys/syscall.h ili /usr/include/syscall.h). Programski kôd za ove pozive je deo kernela; LKM može da promeni taj kôd i samim tim promeni funkcionalnost sistemskog poziva. Tako da umesto "otvori datoteku sa ove lokacije" funkcionalnost može biti "otvori datoteku sa ove lokacije, ako se ta datoteka ne zove neki_rootkit".

3) rootkitovi biblioteka - cilj je zamena biblioteka sa trojancima.

Ovim napadima se pozivi unutar biblioteka zamenjuju sa malicioznim pozivima trojanca. Ukoliko se rootkit pozicionira na /etc/ld.so.preload , u čita će se pre sistemskih biblioteka i osigurati da se njegovi pozivi koriste umesto sistemskih. Administrator se može boriti protiv ovih napasti sa alatima tipa: ltrace, strace i truss kako bi ušli u trag sistemskim pozivima i pozivima biblioteka.

Rootkit ovi svoju funkcionalnost ostvaruju kroz:

• omogu ćavanje pristupa na ra čunar

Što se ti če zlonamernog pristupa na ra čunar, bi će opisani neki vektori napada. Zlonamerni napadi često ga ñaju exploit e ssh -a umesto telnet a jer se ssh sadržaj kriptuje i takve komande IDS sistemi ne mogu da otkriju.

Kada se uspostavi konekcija na žrtvin ra čunar, kernel rootkit će poslužiti da sakrije konekciju od administratora, tako da se maliciozne konekcije ne vide u netstat komandi.

Ukoliko je u pitanju Web server , postoje maliciozne CGI skripte kako bi se iskoristili exploit i tog servera.

UDP listener : napadi preko UDP portova se teže otkrivaju jer se UDP portovi teže skeniraju (za razliku od TCP portova). Dakle, ukoliko maliciozna aplikacija "sluša" na UDP portu, manja je verovatno ća da će biti otkrivena (sa nmap ili sli čnim alatom). Tako ñe, sa dodatnom enkripcijom, saobra ćaj ne će bit sumnjiv IDS sistemu (za više informacija o TCP i UDP portovima i skeniranju portova, videti mali re čnik zaštite) .

Tako ñe su česti UDP flood napadi na servere. Navodno, ve ćina game servera koriste UDP protokol za konektovanje svojih klijenata. Ovim napadima, kao tipu DDoS napada, se guši server do stanja neupotrebljivosti. Odbrana za ovu vrstu napada je jasno definisanje IPTABLES politike.

Primer napada (više paketa male dužine):

Citat: Oct 18 13:23:25 beta kernel: IPTABLES TOTAL LOG: IN=eth0 OUT= MAC=00:16:3e:05:e4:fc:00:0c:ce:da:84:8a:08:00 SRC=***.XXX.***.XXX DST=XXX.***.XXX.*** LEN=46 TOS=0x00 PREC=0x00 TTL=119 ID=5378 PROTO=UDP SPT=3633 DPT=7777 LEN=26 Oct 18 13:23:25 beta kernel: IPTABLES TOTAL LOG: IN=eth0 OUT= MAC=00:16:3e:05:e4:fc:00:0c:ce:da:84:8a:08:00 SRC=***.XXX.***.XXX DST=XXX.***.XXX.*** LEN=28 TOS=0x00 PREC=0x00 TTL=119 ID=5379 PROTO=UDP SPT=3633 DPT=7777 LEN=8 Oct 18 13:23:25 beta kernel: IPTABLES TOTAL LOG: IN=eth0 OUT= MAC=00:16:3e:05:e4:fc:00:0c:ce:da:84:8a:08:00 SRC=***.XXX.***.XXX DST=XXX.***.XXX.*** LEN=46 TOS=0x00 PREC=0x00 TTL=119 ID=5380 PROTO=UDP SPT=3633 DPT=7777 LEN=26 Oct 18 13:23:25 beta kernel: IPTABLES TOTAL LOG: IN=eth0 OUT= MAC=00:16:3e:05:e4:fc:00:0c:ce:da:84:8a:08:00 SRC=***.XXX.***.XXX DST=XXX.***.XXX.*** LEN=28 TOS=0x00 PREC=0x00 TTL=119 ID=5381 PROTO=UDP SPT=3633 DPT=7777 LEN=8 Oct 18 13:23:25 beta kernel: IPTABLES TOTAL LOG: IN=eth0 OUT= MAC=00:16:3e:05:e4:fc:00:0c:ce:da:84:8a:08:00 SRC=***.XXX.***.XXX DST=XXX.***.XXX.*** LEN=46 TOS=0x00 PREC=0x00 TTL=119 ID=5382 PROTO=UDP SPT=3633 DPT=7777 LEN=26 Oct 18 13:23:25 beta kernel: IPTABLES TOTAL LOG: IN=eth0 OUT= MAC=00:16:3e:05:e4:fc:00:0c:ce:da:84:8a:08:00 SRC=***.XXX.***.XXX DST=XXX.***.XXX.*** LEN=28 TOS=0x00 PREC=0x00 TTL=119 ID=5383 PROTO=UDP SPT=3633 DPT=7777 LEN=8

Sniffers - ovaj metod napada uklju čuje veliki nivo tajnosti, jer aplikacije ovoga tipa ne otvaraju portove, ve ć "njuškaju" po mrežnom saobra ćaju u potrazi za relevantnim podacima (lozinke i drugi podaci). Na jednom od screenshot ova u članku se može videti promena režima rada mrežnog adaptera, usled rada malicioznog programa.

Kod starijih kernela (zaklju čno sa 2009. godinom) su česti pokušaji eskalacije (proširenja) privilegija kroz izmenjene SUID binaries. Kernel trojanac se može iskoristiti da dozvoli root pristup (ve ća prava) izvesnim korisnicima modifikacijom setuid() poziva kernela.

• napad na druge sisteme

Jedna od funkcionalnosti rootkit ova, dobavljenih preko honeynet ova se ogleda i kroz napad na druge mašine u lokalnoj mreži ili Internetu, kroz formiranje botnet ova, a kako bi se proširila "zauzeta teritorija". Ve ćina analiziranih rootkit ova uklju čuje i password sniffer (npr. linsniff ), a meta ovih sniffera su "tekst-protokoli" kao što su POP3, IMAP, telnet, FTP i drugi. Tako ñe, mogu se sniff ovati i e-mail ovi koji idu preko SMTP protokola (budu ći da je i on plaintext protokol).

Preduslov za rad alata za sniffing predstavlja stavljanje mrežnog interfejsa, na konkretnoj mašini, u "promiskuitetni mod". Alati uklju čuju i algoritam za parsiranje dobijenog saobra ćaja tako da se traže stringovi kao "login:," "password:" . Prisustvo sniffer a se može identifikovati posredno sa komandom:

/sbin/ifconfig

(naravno, ako komanda nije meta trojanca koji će sakriti flag ).

Tako ñe, mogu će je na ći alate koji sniff uju SSH syscall . Dakle, presretanjem sistemskih poziva kao što su read() i write() , traga se za podacima za autentikaciju korisnika SSH sesija.

• uklanjanje svih dokaza/tragova o njihovom postojanju

Tre ći krucijalni element funkcionalnosti rootkit a uklju čuje eliminisanje "dokaznog materijala". Ove aktivnosti se sastoje u uklanjanju dokaza koji prethode samom napadu na sistem, kao i spre čavanju novog dokaznog materijala o prisustvu rootkit a. Ti dokazi se ogledaju u uklanjanju raznih logova, zatim istorijskog zapisa komandi (npr. shell histories ), malicioznih procesa i datoteka, podešavanja mrežnog interfejsa i malicioznih konekcija.

Uklanjanje dokaza se obi čno vrši sa LKM rootkit ovima ( Loadable Kernel Module rootkit ).

Rootkit ovi mogu da uklju če i dodatne mehanizme koji podrazumevaju delovanje virusa kako bi još više "u čvrstili položaj" na mašini. Postoji proof of concept malware koji pri svakom otvaranju terminala briše neki log file ili podešavanja pretraživa ča. Uz ovakve kombinovane na čine delovanja malicioznih programa (trojanaca, virusa, sniffera i rootkitova), gotovo je nemogu će iskoreniti malware .

Šablon prodora rootkita na sistem se može opisati kao slede ći pseudo postupak:

- Prona ći ranjivog doma ćina kroz automatizovane skenere, autorootere ili underground baze podataka o otkrivenim ranjivim doma ćinima. - Iskoristiti na ñene ranjivosti, kako bi se izvršio napad na sistem. - Download rootkit a na sistem; u zavisnosti od exploit a i alata za exploit , taj alat može odmah po otkrivanju ranjivosti ubaciti trojanca. - izvršenje rootkit a sa malicioznom skriptom. - onemogu ćavanje shell history (unset HISTFILE) - formiranje dodatnih struktura direktorijuma i raspakivanje modula - ubijanje syslog daemon i zamrzavanje sistemskih logova - startovanje backdoor a - [kod odre ñenih verzija] hook ovanje LKM za kernel kako bi se osiguralo startovanje malware -a prilikom bootovanja sistema i kako bi se sakrili "dokazi" o postojanju rootkita. - pokretanje dodatnih alata. Na primer alati za DoS napade.

[3] Odbrana tvr ñave

Prednost Linuksaša (i open source -a) je transparentnost! Možemo otvoriti gedit , kate (ili neki drugi tekst procesor) i videti šta skripta radi. Našao sam lep slogan za korisnike Linuksa - Education is still the best defense against malware. Kod Windows a nemamo ovakvu transparentnost zbog raznih pakera, obfuskatora koda, kriptera i sl.

Osim toga, pojedine skripte imaju i komentare! Na primer, u arhivi malware -a za Linuks sam naišao na slede ći komentar:

Citat:#!/bin/.mwsh # [cenzurisano] Worm [cenzurisano] # If you are an admin and find this on your machine, # your security is very very lame and you have a big problem # Have a nice day!

--> Em vas haknu, em vam ubiju i ponos admina . Ali je zato tu kôd, pa se može izvu ći poenta za bolju zaštitu tvr ñave.

Dalje, treba izbegavati instaliranje piratskih aplikacija jer često (kao i na Windows u) dolaze sa inficiranim keygen ima i (zabranjeno) ovima. Čitao sam da jedan autor svoj malware distribuira preko P2P mreža (konkretno on to radi sa piratskom verzijom komercijalne aplikacije Cedega ).

Relevantno je i da pomenemo aplikacije koje nam mogu pomo ći u borbi protiv malware -a:

Citat: Antivirusne aplikacije:

* Avast! (freeware i komercijalna) * AVG (freeware i komercijalna) * Avira (freeware i komercijalna) * BitDefender (freeware i komercijalna) * Central Command Vexira Antivirus for Linux (komercijalna) * ClamAV (open source) * Dr.Web (komercijalna) * Eset (komercijalna) * F-Secure Linux (komercijalna) * Kaspersky Linux Security (komercijalna) * McAfee VirusScan Enterprise for Linux (komercijalna) * Panda Security for Linux (komercijalna) * RAV Antivirus Desktop (komercijalna) * Sophos (komercijalna) * Symantec AntiVirus for Linux (komercijalna) * Trend Micro ServerProtect for Linux (komercijalna)

Antimalware aplikacije:

* Linux Malware Detect (open source) * chkrootkit (open source) * rkhunter (open source)

Pojedine antivirusne aplikacije pored on-demand skenera imaju i real-time skenere. Kaspersky, Avira (serverska edicija), Vexira Antivirus, na primer, imaju real time skenere pored on-demand skenera. Avast, koji sam probao, ima samo on-demand skener (u pitanju je freeware verzija).

Naro čito su interesantni antimalware programi jer predstavljaju i dijagnosti čke programe. Možda će se nekada koristiti kao pandan GMER-u za Windows . Prikazuju se tzv. loading point za malware , na primer crontab ili /etc/cron.d (i sl.) i druge lokacije kako bi helper onemogu ćio reinfekcije.

Starije Linuks distribucije su bile vrlo podložne buffer overrun napadima. Cilj napada je bio izvršavanje programskog kôda sa ve ćim privilegijama (tj. pod privilegijama aplikacije koja ima odre ñenu ranjivost). Dakle, programi koji dobijaju root pristup (preko setuid bita), iako su pokrenuti od korisnika sa manjim privilegijama, su bili česta meta napada. Me ñutim, od 2009. godine se ovoj i sli čnim local root exploitima prakti čno "stalo u kraj" jer su kerneli dobili mnoga poboljšanja u vidu Address Space Layout Randomization (ASLR) tehnologije, poboljšane zaštite memorije i drugim ekstenzijama kernela koji znatno otežavaju ovakve vrste napada.

[4] Testiranje

Isprva sam probao malo da testiram na fizi čkoj mašini ( Isadora ). Probao sam iskompajlirati par malware -a. Nisam uspeo (na svu sre ću). Jer zbog razli čitih verzija biblioteka, razli čitih distribucija, datuma nastanka malware -a se javljaju poteško će u kompajliranju, a i infiltriranju malware -a na više distribucija.

* Češ ći je pristup da se iskoristi neki poznati propust da se na ra čunar ubaci skripta koja će sa Interneta preuzeti i iskompajlirati specifi čan malware na doma ćinu, te će on sigurno mo ći i da funkcioniše (naravno, ukoliko postoji odgovaraju ći kompajler).

Potom sam rešio da napravim VMWare virtualnu mašinu (na kraju testiranja se pokazalo da nisam pogrešio). Testna virtualna mašina je Ubuntu Lucid. Izabrao sam Ubuntu jer je najpopularnija distribucija. Naravno, malware može da deluje samo u onom segmentu za koji ima privilegije. Za potrebe testiranja sam rešio da u Ubuntu u aktiviram root nalog (onemogu ćen je po default u) i da testiram sa root naloga.

Imao sam source kodove, ELF datoteke i razne maliciozne skripte. Prvo što treba pomenuti je to da radi i stariji malware . Testirani su virusi i rootkit ovi iz 2001-2003 i rade.

Potom sam instalirao antivirus Avast free i evo jedne od infekcija na screenshot u:

Sa screenshot a se može videti da nije bio u mogu ćnosti da dezinfikuje ( repair ) inficirane datoteke...

Potom sam startovao jos 20-ak malware -a iz arhive. Nakon toga sam restartovao mašinu. Pri slede ćem startovanju operativnog sistema se javilo slede će upozorenje:

Promiscuous mode (promiskuitetni mod) predstavlja konfiguraciju mrežnog adaptera tako da isti sav saobra ćaj (umesto samo frejmova) usmerava na procesor. Ovaj metod se koristi u maliciozne svrhe za packet sniffing (mada ima i primena za legitimne svrhe). Sniffer i tako ga ñaju protokole koji su bez enkripcije i vrše razmenu podataka (dakle, i lozinki) u tekstualnom obliku (na primer FTP i Telnet).

* preporuka je da se koriste sigurniji protokoli kao što je SSH! Da VMware nije izbacio ovo upozorenje, kako otkriti pokušaj sniffing a? --> Administratori će uo čiti pove ćano optere ćenje procesora jer kernel usmerava mrežni saobra ćaj na CPU.

Dalje, terminal mi je postao potpuno onemogu ćen; kada ga pokrenem "nešto" ga ubija za manje od četvrtine sekunde. Pokušao sam i sa failsafe Gnome da se logujem, kao i sa xterm , ali ne pomaže. Kada pokušam xterm , opet me vrati na login screen . Virtualna mašina se usporila...

Pored toga, Avast se nekako sakrio. Pretpostavljam da je rootkit u pitanju. Kada pokušam da instaliram DEB, piše da je ve ć instaliran (ponu ñeno je samo reinstall package ). Uklonio sam ga potpuno (uklju čuju ći i konfiguracione datoteke) i probao da ga opet instaliram, ali nema pomo ći. Instalirao sam i AVG, ali je na žalost konzolna aplikacija, pa nisam uspeo da skeniram. Potom sam pokušao da ažuriram sistem, misle ći da će rešiti neki problemi (da imam pristup terminalu). Update je konstantno fail ovao.

[5] Zaklju čak

Za desktop korisnike je dobra je praksa da se isklju če servisi i paketi koji se ne koriste (ssh na primer). Tako ñe, onemogu ćavanje guest account a. U Ubuntu u je root account onemogu ćen po default u (još jedan na čin zaštite OS-a). I naravno, treba biti oprezan kod davanja privilegija.

Što se ti če testiranja, generalni zaklju čak je da se Linuks mašina uz odre ñene uslove ipak može inficirati sa virusom, ali samo one izvršne datoteka u opsegu privilegija tekućeg korisnika. Te iste privilegije onemogu ćavaju dalje širenje virusa. Ako malware slu čajno dobije root pristup, šteta može biti velika, s tim da je ve ća šansa da "pro ñe" maliciozni skript fajl i ELF inficiranje, nego iskompajlirani malware (bar je tako bilo u mom slu čaju).

U slu čaju fork bombi , prvencija istih podrazumeva ograni čavanje broja procesa koje jedan korisnik može imati (tako ñe, postoji patch za Linuks kernel - grsecurity , koji loguje koji korisnik je pokušao ovu vrstu napada).

--- Da li mi je potreban antivirus za Linuks !? --> Ako postupate po konceptima i savetima opisanim u ovom članku, antivirus za Linuks vam nije potreban.

* Ukoliko odlu čim da se još malo igram sa inficiranjem drugih distribucija (Arch, na primer), podeli ću utiske u ovoj temi. ======Credits: bobby, bocke ======by ThePhilosopher