Alfonso Maruccia

Il rootkit a 64 bit che infetta il kernel Linux

Individuata una nuova "bestiola" in grado di prendere il controllo dei server Linux e infettare le pagine web visitate dagli utenti. L'obiettivo è sempre colpire chi utilizza Windows, e il malware è ancora in sviluppo

Roma - I malware di alto profilo per Linux sono rari, ma quando ci sono fanno notizia più di un vermicello per Windows qualsiasi. Ultimo venuto in questa specifica categoria del codice malevolo è Snakso, un rootkit progettato per infettare il kernel del Pinguino e gettare scompiglio fra gli utenti del World Wide Web - e di Windows.

Snakso - o Rootkit.Linux.Snakso.a come identificato da Kaspersky - prende di mira i server web su cui gira Linux e relativo sistema operativo, ne prende il controllo attraverso opportune modifiche ai moduli del kernel open source e poi prende a infettare le pagine web servite agli utenti dai succitati web server.

Il rootkit sottomette Linux tramite un elaborato schema di hook inseriti in svariati moduli, garantendosi il caricamento ad ogni riavvio e arrivando al punto di sostituire il modulo per la generazione dei pacchetti TCP con una routine specifica in grado di modificare al volo i pacchetti prima dell'invio.
L'obiettivo finale di Snakso è l'inserimento di iframe malevoli all'interno delle pagine web visitate dall'utente, tramite i quali il malware può testare l'esistenza di eventuali vulnerabilità all'interno del browser e spargere pestilenze progettate per girare sull'OS che rappresenta la stragrande maggioranza del mercato PC (Windows).

Ulteriore caratteristica degna di nota del nuovo rootkit per Linux è il fatto di rappresentare una minaccia ancora in potenziale divenire: chi ha analizzato il codice sostiene che chi lo ha creato è un programmatore esperto (probabilmente di nazionalità russa) con poca dimestichezza nel modificare il kernel del Pinguino, tanto che il malware ancora contiene le informazioni di debug assieme alle quali è stato compilato.

Alfonso Maruccia
Notizie collegate
  • SicurezzaSSH violato, Linux sotto scaccoSfruttando un certo numero di chiavi compromesse, dei cracker si insinuano all'interno dei sistemi. Sfruttandoli per installare un rootkit e propagare l'infezione. Un appello per l'aggiornamento e la bonifica
92 Commenti alla Notizia Il rootkit a 64 bit che infetta il kernel Linux
Ordina
  • Se l'autore si fosse solo informato un po' prima di scrivere.

    1) Il potenziale mega-virus potrebbe funzionare solo su Debian Squeezy con il kernel 2.6.32-5-amd64.
    http://www.webnews.it/2012/11/20/linux-nuovo-malwa.../

    2) Apache dovrebbe girare con i permessi di root (solo un pazzo lo farebbe)

    3) Ultimamente un sacco di server web girano su macchine virtualizzate a 32 bit, solo gli host hanno un kernel a 64 bit ma essi non sono direttamente raggiungibili dall'esterno. (NB host è un gergo che si usa nella virtualizzazione, rappresenta la macchina fisica, da non confondere con il gergo che si una nel networking che rappresenta un qualsiasi server hardware/virtuale)

    Per far funzionare quel virus manco se lo compili direttamente sull'host funzionerebbe...
  • - Scritto da: arturu.it
    > Se l'autore si fosse solo informato un po' prima
    > di
    > scrivere.
    >
    > 1) Il potenziale mega-virus potrebbe funzionare
    > solo su Debian Squeezy con il kernel
    > 2.6.32-5-amd64.
    > http://www.webnews.it/2012/11/20/linux-nuovo-malwa
    >
    > 2) Apache dovrebbe girare con i permessi di root
    > (solo un pazzo lo
    > farebbe)
    >
    > 3) Ultimamente un sacco di server web girano su
    > macchine virtualizzate a 32 bit, solo gli host
    > hanno un kernel a 64 bit ma essi non sono
    > direttamente raggiungibili dall'esterno. (NB host
    > è un gergo che si usa nella virtualizzazione,
    > rappresenta la macchina fisica, da non confondere
    > con il gergo che si una nel networking che
    > rappresenta un qualsiasi server
    > hardware/virtuale)
    >
    >
    > Per far funzionare quel virus manco se lo compili
    > direttamente sull'host
    > funzionerebbe...

    Quello che e' certo, invece, e' che se mai volessimo proprio farci del male e metterlo in un kernel debian, sarebbero i winari che ci accedono con ie a beccarsi l'infezione!
  • Aggiornamento mirato del kernel per rendere innocuo il rootkit in 3...2...1...

    E comunque vorrei sapere cosa sfrutta per modificare i moduli del kernel... non è così banale, deve fare una scalata ai privilegi, i casi sono due:

    1) Chi ha messo su il server fa girare il server web con i permessi di amministratore, nel caso è un pazzo e va fermato. XD

    2) C'è una vulnerabilità da qualche parte, giro di una settimana viene trovata e chiusa.

    Come al solito i virus di questo genere diventano obsoleti ancora prima di diventare utilizzabili da qualche malintenzionato.
    non+autenticato
  • Giusto per spiegarmi meglio, anche Symantec gli dà poco peso:

    -Wild
    Wild Level: Low
    Number of Infections: 0 - 49
    Number of Sites: 0 - 2
    Geographical Distribution: Low
    Threat Containment: Easy
    Removal: Easy
    -Damage
    Damage Level: Low
    Payload: Injects iframes into HTTP packets sent out from the compromised computer.
    Distribution Level: Low
    non+autenticato
  • Potrei sbagliarmi, ma non infettava i kernel fino alla versione 2.6?
    non+autenticato
  • - Scritto da: for teh lulz
    > Potrei sbagliarmi, ma non infettava i kernel fino
    > alla versione
    > 2.6?

    debian stable kernel vanilla, sempre se trova l'amministratore di una debian che se lo installa
    non+autenticato
  • - Scritto da: Andreabont
    > 1) Chi ha messo su il server fa girare il server
    > web con i permessi di amministratore, nel caso è
    > un pazzo e va fermato.
    > XD

    Allora rimarresti stupito da quanti admin pazzi ci sono al giorno d'oggi...
    non+autenticato
  • - Scritto da: Nonriescoaf areillogin
    > - Scritto da: Andreabont
    > > 1) Chi ha messo su il server fa girare il server
    > > web con i permessi di amministratore, nel caso è
    > > un pazzo e va fermato.
    > > XD

    > Allora rimarresti stupito da quanti admin pazzi
    > ci sono al giorno d'oggi...

    Dicci dicci, quanti ne hai visti ?
    Certo che devono essere proprio pazzi, perche' devi farlo apposta visto che l'installer crea l'utenza apache ed assegna i permessi automaticamente.
    krane
    22544
  • "ne prende il controllo attraverso opportune modifiche ai moduli del kernel open source."

    Ma che senso ha ?

    I web server lavorano di solito con l'utente apache, che ha accesso esclusivo all'area web, col rinforzo di SELINUX che ne impedisce l'esecuzione arbitraria (tanto che i famosi hack ai web server di solito sono legati all'uso di PHP).

    Come cavolo fa un worm ad accedere ai moduli che stanno in cartelle non scrivibili e sono tutti per definizione :

    rw-r--r-- root root

    ?

    Se lo fanno apposta è un'altra cosa, se lo fanno con un hack di sistema è MOLTO preoccupante.
    non+autenticato
  • - Scritto da: Quelo
    > "ne prende il controllo attraverso opportune
    > modifiche ai moduli del kernel open source."

    > Ma che senso ha ?

    > I web server lavorano di solito con l'utente
    > apache, che ha accesso esclusivo all'area web,
    > col rinforzo di SELINUX che ne impedisce
    > l'esecuzione arbitraria (tanto che i famosi hack
    > ai web server di solito sono legati all'uso di
    > PHP).

    > Come cavolo fa un worm ad accedere ai moduli che
    > stanno in cartelle non scrivibili e sono tutti
    > per definizione :

    > rw-r--r-- root root

    > ?

    > Se lo fanno apposta è un'altra cosa, se lo fanno
    > con un hack di sistema è MOLTO
    > preoccupante.

    Con un hack non riuscivano, infatti hanno dovuto scrivere un apposito modulo per il kernelA bocca aperta
    krane
    22544
  • Eh infatti, quindi devono installarlo e non possono certo farlo dall'utente Apache! Ma ti dico io ... Rotola dal ridere
    non+autenticato
  • - Scritto da: Quelo
    > Eh infatti, quindi devono installarlo e non
    > possono certo farlo dall'utente Apache! Ma ti
    > dico io ...
    > Rotola dal ridere

    Come ho scritto sopra: questo modulo servira' a dare sicurezza e far sentire a casa su ubuntu gli ex utenti windows.
    krane
    22544
  • - Scritto da: krane
    > - Scritto da: Quelo
    > > Eh infatti, quindi devono installarlo e non
    > > possono certo farlo dall'utente Apache! Ma ti
    > > dico io ...
    > > Rotola dal ridere
    >
    > Come ho scritto sopra: questo modulo servira' a
    > dare sicurezza e far sentire a casa su ubuntu gli
    > ex utenti
    > windows.

    Rotola dal ridereRotola dal ridere vaglielo a spiegare a quel santone del clicca clicca fine di gianluca 70
  • - Scritto da: krane
    > - Scritto da: Quelo
    > > Eh infatti, quindi devono installarlo e non
    > > possono certo farlo dall'utente Apache! Ma ti
    > > dico io ...
    > > Rotola dal ridere
    >
    > Come ho scritto sopra: questo modulo servira' a
    > dare sicurezza e far sentire a casa su ubuntu debian gli
    > ex utenti
    > windows.
    Shiba
    4089
  • - Scritto da: Shiba
    > - Scritto da: krane
    > > - Scritto da: Quelo
    > > > Eh infatti, quindi devono installarlo
    > > > e non possono certo farlo dall'utente
    > > > Apache!
    > > Ma ti dico io ...
    > > > Rotola dal ridere

    > Come ho scritto sopra: questo modulo
    > servira' a dare sicurezza e far sentire
    > a casa su s> ubuntu debian
    > gli ex utenti windows.

    Se vedi dei moduli / programmi lamer su debian vuol dire che li stanno testando per usarli su ubunti.
    krane
    22544
  • SICURO!

    ma cosa state a mettere notizie di virus per linus, lo sa anche il fliglio del portiere del dottore del mio amico che linus non ha virus, solo che è complicato e i giochi non girano quindi non gli piace.

    tutto qua
    se non fosse per i giochi sarebbe già passato a linus!!
  • valve darà la sferzata finale
  • - Scritto da: P.Inquino
    > valve darà la sferzata finale

    ...no ma, seriamente, ti aspetti di trovare tutto il catalogo di Steam-per-windows? No perché Steam per Mac, ti assicuro, non è affatto così.

    Tutto figo c'è la piattaforma di digital delivery, ma con sulla carta solo i giochi indipendenti e il catalogo Valve aspetterei prima di fare proclami trionfalistici.
    non+autenticato
  • - Scritto da: Risposta alla notizia
    > - Scritto da: P.Inquino
    > > valve darà la sferzata finale
    >
    > ...no ma, seriamente, ti aspetti di trovare tutto
    > il catalogo di Steam-per-windows? No perché Steam
    > per Mac, ti assicuro, non è affatto
    > così.
    >
    > Tutto figo c'è la piattaforma di digital
    > delivery, ma con sulla carta solo i giochi
    > indipendenti e il catalogo Valve aspetterei prima
    > di fare proclami
    > trionfalistici.

    l'importante è sottrarre utenza schiavizzata da anni ed anni di utilizzo forzato - vedi preinstallato - di winzoz schifezza
  • - Scritto da: P.Inquino
    > - Scritto da: Risposta alla notizia
    > > - Scritto da: P.Inquino
    > > > valve darà la sferzata finale
    > >
    > > ...no ma, seriamente, ti aspetti di trovare
    > tutto
    > > il catalogo di Steam-per-windows? No perché
    > Steam
    > > per Mac, ti assicuro, non è affatto
    > > così.
    > >
    > > Tutto figo c'è la piattaforma di digital
    > > delivery, ma con sulla carta solo i giochi
    > > indipendenti e il catalogo Valve aspetterei
    > prima
    > > di fare proclami
    > > trionfalistici.
    >
    > l'importante è sottrarre utenza schiavizzata da
    > anni ed anni di utilizzo forzato - vedi
    > preinstallato - di winzoz
    > schifezza

    E...perdonami, questo dovrebbe accadere in base a cosa? Dei giochi proposti nell'articolo l'unico che si può definire "nuovo" è Serious Sam 3, che fra l'altro, metascore alla mano, sembra abbastanza consolizzato e dimenticabile; se solo si fossero fermati dopo Second Encounter...

    (Fra l'altro trovo anche abbastanza scorretto accompagnare all'articolo la foto di Skyrim su Steam)

    Te lo dico io come andrà a finire: Cominceremo a riconoscere gli utenti Linux a colpo d'occhio perché nel 2013 saranno gli unici a ghignare ancora con THE CAKE IS A LIE e SPY IS SAPPING MY SENTRY.
    non+autenticato
  • Se dai già per scontato questo allora steam ha già perso in partenza.
    L'importante è cominciare e non obbligatoriamente con titoli nuovi.
    non+autenticato
  • - Scritto da: Matrix
    > Se dai già per scontato questo allora steam ha
    > già perso in
    > partenza.
    > L'importante è cominciare e non obbligatoriamente
    > con titoli
    > nuovi.

    Non è questione di perdere è questione di..."non vincere".

    Steam per Mac, a dispetto delle STESSE rassegne stampa sensazionalistiche è, a tutti gli effetti, un non-vincente. Il catalogo è una frazione di quello per Windows e mancano quasi tutti i titoli di maggior richiamo, a parte quelli di Valve che per quanto validi cominciano ad avere qualche anno sulle spalle (che sarebbe come dire: chi li voleva giocare li ha giocati fino alla nausea sul PC-Windows).

    Che poi, qualcuno mi corregga se sbaglio, sull'ultima versione di OS X con le impostazioni di sicurezza predefinite va anche autorizzato separatamente altrimenti non si installa.

    Sto semplicemente facendo notare l'ovvio: Steam per Linux a oggi parte già avviato sulla stessa strada, perché senza il supporto di nomi come Electronic Arts, Activision, Zenimax*, Ubisoft, Eidos/Square-Enix e la Madonna, non andrà da nessuna parte.

    E non dovrei essere io a spiegarlo.

    *Mi stupisce fra l'altro che Id, da sempre stata una delle case più amichevoli nei confronti di Linux sembra aver avuto una inversione di tendenza con le ultime uscite.
    non+autenticato
  • non so ho smesso di giocare tanti anni fa , non conosco questi o quei titoli che mi menzioni
  • - Scritto da: Risposta alla notizia
    > - Scritto da: P.Inquino
    > > valve darà la sferzata finale
    >
    > ...no ma, seriamente, ti aspetti di trovare tutto
    > il catalogo di Steam-per-windows? No perché Steam
    > per Mac, ti assicuro, non è affatto
    > così.
    >
    > Tutto figo c'è la piattaforma di digital
    > delivery, ma con sulla carta solo i giochi
    > indipendenti e il catalogo Valve aspetterei prima
    > di fare proclami
    > trionfalistici.

    ...intanto vanno avanti!

    notizia fresca fresca di oggi

    http://www.oneopensource.it/26/11/2012/valve-beta-...
  • - Scritto da: TheOriginalFanboy

    > ma cosa state a mettere notizie di virus per

    altro da aggiungere? se non riesce a capire la differenza tra worm, virus, trojan, rootkit, backdoor, allora è inutile discutere

    ok un rootkit per linux si può creare, grazie tante, lo sappiamo da almeno 20 anni

    ovviamente se lo installi di tua volontà, gli rendi la vita ancora più semplice

    ma faccio notare che di rootkit per macos ce ne sono molti di più!!!!! quindi? il tuo punto quale sarebbe?
    non+autenticato
  • I rootkit nascono su sistemi unix, linux e bsd. Per questo si chiamano "root"+"kit", perchè i rootkit prendono i privilegi di root ("root") e si nascondono nascondendo (quindi è un "kit") altri programmi che hanno il vero payload.
    In questo caso il rootkit contiene anche un payload, quindi è qualcosa tipo un "root+malware" cioè è un tutto-in-uno.

    I rootkit sono sempre esistiti su linux, ma anche su windows, sia in user space che in kernel space. E questo significa: anche in modalità protetta. Perché a livelli differenti possono funzionare dal ring 3 a ring 0 nel kernel. A ring 3 sono le semplici DLL o i moduli shared object da iniettare nei processi che spesso usano i bambini per fare un po' di pratica con l'hooking delle API, a ring 0 sono comuni moduli per il kernel (come in questo caso). Semmai si potrebbe dire che le novità sono i rootkit in ring -1, cioè quei rootkit che sfruttano le istruzioni di virtualizzazione presenti nei processori. Il rootkit diventa il sistema operativo host che virtualizza il sistema operativo che doveva essere il vero sistema host.

    Questo rootkit qua dell'articolo, a parte essere l'ennesimo rootkit per linux, non ha nulla di speciale; tranne l'essere stato programmato malissimo e sicuramente da un incapace.
    non+autenticato
  • ottima analisi!
  • - Scritto da: P.Inquino
    > ottima analisi!
    Ottima analisi? Cos'avrebbe analizzato?
    Prozac
    5076
  • Ho analizzato la qualità del programma. Ho solo detto l'unica conclusione possibile, dicendo che la sua qualità è molto bassa, quindi non si puo' di certo parlare di una gran news dal punto di vista tecnico con un software così scadente e programmato malissimo, che non aggiunge niente di nuovo. Invero, per ottenere la versione del kernel da ring 3 un programma che fa così: system("uname -r > /.kernel_version_tmp") e poi va a parsare il file lascia il tempo che trova. Ovvero: non ha di certo fatto nulla di sbagliato, ma nemmeno è arte della programmazione! Anche perché senza tanti giri strani si trova che: int uname(struct utsname *buf);
    Questo rootkit è più un esempio di come non si deve programmare, piuttosto che altro. Il rootkit in sé è altrettanto penoso, e senza alcuna novità. Chiunque, che nella sua vita abbia scritto anche un solo modulo per il kernel, sa fare di meglio.
    non+autenticato
  • - Scritto da: ABC
    > Ho analizzato la qualità del programma. Ho solo
    > detto l'unica conclusione possibile, dicendo che
    > la sua qualità è molto bassa, quindi non si puo'
    > di certo parlare di una gran news dal punto di
    > vista tecnico con un software così scadente e
    > programmato malissimo, che non aggiunge niente di
    > nuovo. Invero, per ottenere la versione del
    > kernel da ring 3 un programma che fa così:
    > system("uname -r > /.kernel_version_tmp") e
    > poi va a parsare il file lascia il tempo che
    > trova. Ovvero: non ha di certo fatto nulla di
    > sbagliato, ma nemmeno è arte della
    > programmazione! Anche perché senza tanti giri
    > strani si trova che: int uname(struct utsname
    > *buf);
    > Questo rootkit è più un esempio di come non si
    > deve programmare, piuttosto che altro. Il rootkit
    > in sé è altrettanto penoso, e senza alcuna
    > novità. Chiunque, che nella sua vita abbia
    > scritto anche un solo modulo per il kernel, sa
    > fare di
    > meglio.


    In questo post vedo un'accenno di analisi. In quello precedente non è presente nessuna analisi. Solo un po' di storia/definizione dei/di rootkit e alla fine un'opinione personale sul rootkit oggetto dell'articolo. Analisi zero.

    Con questa risposta, invece, vedo un accenno d'analisi...
    Prozac
    5076
  • Guarda che non volevo mica fare un'analisi esauriente nel forum di PI. Ho solo aggiunto i miei commenti, un'analisi la trovi qui:
    http://blog.crowdstrike.com/2012/11/http-iframe-in...

    La parte da cui si capisce che chi ha scritto il programma non è un esperto, è questa:
    The rootkit, however, calculates an 8-byte or 64-bit offset in a stack buffer and then copies 19 bytes (8 bytes offset, 11 bytes unitialized) behind the e9 opcode into the target function. By pure chance the jump still works, because amd64 is a little endian architecture, so the high extra 4 bytes offset are simply ignored.

    Per questo ho semplicemente detto le conclusioni, non c'è bisogno nemmeno di tradurre. Prima ho scritto qualcosa in più per fare un esempio, ma pensavo che l'articolo linkato fosse già stato letto perché è stato postato nel secondo messaggio di questo forum.
    non+autenticato
  • - Scritto da: ABC
    > Guarda che non volevo mica fare un'analisi
    > esauriente nel forum di PI. Ho solo aggiunto i
    > miei commenti, un'analisi la trovi
    > qui:
    > http://blog.crowdstrike.com/2012/11/http-iframe-in
    >
    > La parte da cui si capisce che chi ha scritto il
    > programma non è un esperto, è
    > questa:
    > The rootkit, however, calculates an 8-byte or
    > 64-bit offset in a stack buffer and then copies
    > 19 bytes (8 bytes offset, 11 bytes unitialized)
    > behind the e9 opcode into the target function. By
    > pure chance the jump still works, because amd64
    > is a little endian architecture, so the high
    > extra 4 bytes offset are simply
    > ignored.
    >
    > Per questo ho semplicemente detto le conclusioni,
    > non c'è bisogno nemmeno di tradurre. Prima ho
    > scritto qualcosa in più per fare un esempio, ma
    > pensavo che l'articolo linkato fosse già stato
    > letto perché è stato postato nel secondo
    > messaggio di questo
    > forum.

    Guarda che io mica avevo risposto a te...
    Ho semplicemente chiesto a p.iniquo quale analisi avesse letto nel tuo post che analisi semplicemente non ne aveva!

    Vedi, questo forum è pieno di auto-definitisi-mega-esperti che buttano un sacco di critiche su prodotti solo perché a loro quei prodotti non piacciono (e fino a qui la cosa non mi tange minimamente). Non si fermano, però, qui. Offendono e danno dell'idiota o dell'ignorante a chi, invece, quei prodotti li apprezza. Beh...

    Questi mega-esperti, alla fine, quotano un post che contiene un semplice commento (come il tuo) con frasi del tipo "ottima analisi".

    Questo, a me, fa riflettere parecchio sul valore di questi mega-esperti.

    A te non avevo da dire assolutamente nulla.
    Era un tuo commento, al quale avevi allegato una descrizione/riassunto storico sui rootkit. L'avevo letto avevo sorriso, ed ero andato avanti.
    Prozac
    5076
  • Precisamente. l'articolo mi sembra tanto una non-notizia.
  • - Scritto da: jackoverfull
    > Precisamente. l'articolo mi sembra tanto una
    > non-notizia.
    Ah, l'ho capito adesso…La "notiziona" sarebbe che il tutto è a 64 bit. Accipicchia, incredibile.Fantasma
CONTINUA A LEGGERE I COMMENTI
Successiva
(pagina 1/2 - 7 discussioni)