On Mon, Oct 11, 2021 at 08:40:46PM +0200, Davide Prina wrote: > È riportato su slasdot[¹] la scoperta di un nuovo malware (rootkit) che > prende di mira sistemi GNU/Linux. Lo riporto qui poiché ad un primo impatto, > almeno leggendo il titolo, può sembrare preoccupante. > > Da quello che ho capito è basato su suterusu[¹], un rootkit pubblico > disponibile su github che era stato sviluppato per Linux 2.6/3.x > > Ulteriori dettagli sul sito di lacework[³]. > > Da quello che ho capito: > * non si sa come il malware penetri nel sistema operativo > * crea il file /proc/.inl o /tmp/.tmp_XXXXXX > * sostituisce eseguibili di sistema: kill, scp, ssh, ... > * quando un utente esegue "sudo kill" o simile carica un modulo in Linux e > si "impadronisce" del sistema > > a me sembra assurdo, se non paradossale. > > Per scrivere in /proc devi essere root, lo stesso se vuoi sostituire un > comando come /bin/kill. Ma se sei già root per poter fare queste azioni > perché devi attendere che l'utente esegui tali comandi come root per poterti > impadronire del sistema? > > Ciao > Davide > > [¹] > https://linux.slashdot.org/story/21/10/10/000240/new-fontonlake-malware-family-can-target-linux-systems?utm_source=feedburner&utm_medium=feed&utm_campaign=Feed%3A+Slashdot%2Fslashdot+%28Slashdot%29 > > [²] > https://github.com/mncoppola/suterusu > > [³] > https://www.lacework.com/blog/hcrootkit-sutersu-linux-rootkit-analysis/ > > -- > Browser: http://www.mozilla.org/products/firefox > GNU/Linux User: 302090: http://counter.li.org > Non autorizzo la memorizzazione del mio indirizzo su outlook >
Di rootkit ce ne sono a bizzeffe. Non capisco bene qual'è la novità... -- Saluton, Marco Ciampa
