Publicité
+ Répondre à la discussion Actualité déjà publiée
Affichage des résultats 1 à 15 sur 15
  1. #1
    Responsable Actualités

    Avatar de Hinault Romaric
    Homme Profil pro Hinault Romaric
    Consultant
    Inscrit en
    janvier 2007
    Messages
    3 901
    Détails du profil
    Informations personnelles :
    Nom : Homme Hinault Romaric
    Localisation : Cameroun

    Informations professionnelles :
    Activité : Consultant
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : janvier 2007
    Messages : 3 901
    Points : 57 309
    Points
    57 309

    Par défaut Linux ciblé par un mystérieux Rootkit

    Linux ciblé par un mystérieux Rootkit
    infectant des sites Web par injection d’iFrame


    Des chercheurs en sécurité ont découvert un nouveau Rootkit ciblant les plateformes Linux.

    Le 13 novembre dernier, un propriétaire de site Web agacé par le comportement d’un programme poste sur le mailing-list Full Disclosure celui-ci afin d’obtenir des clarifications sur son rôle.

    Les experts en sécurité de Kaspersky et CrowdStrike ont confirmé par la suite qu’il s’agissait d’un Rootkit conçu pour attaquer les systèmes d’exploitation Linux 64 bits, plus précisément la dernière version du kernel utilisée dans Debian Squeeze.

    D’un code relativement simple et encore en phase d’expérimentation, le Rootkit selon Kaspersky utilise cependant des mécanismes assez complexes pour dissimuler son activité.

    Le programme malveillant baptisé « Rootkit.Linux.Snakso» par les chercheurs de Kaspersky Lab, s’installe au sein des fonctions importantes du noyau Linux en essayant de dissimuler ses fils. Sa fonction principale serait d’infecter les sites Web hébergés sur un serveur Web affecté.

    Concrètement, il effectue des attaques par injection d’iFrame en modifiant la fonction système tcp_sendmsg pour injecter du code malveillant dans le trafic HTTP, afin de rediriger les internautes vers des sites Internet suspects.

    Selon les experts en sécurité, ce programme malveillant utilise une nouvelle approche du « drive-by-download » qui se différencie des mécanismes habituels basés sur de simples scripts. Les chercheurs notent également que ce malware ne serait pas utilisé pour une campagne d’attaques ciblées, mais plutôt pour une opération visant à tromper un nombre important d’internautes.





    Source : Kaspersky, CrowdStrike, Disclosure


    Et vous ?

    Qu'en pensez-vous ?
    Si déboguer est l’art de corriger les bugs, alors programmer est l’art d’en faire
    Mon blog Mes articles
    En posant correctement votre problème, on trouve la moitié de la solution

  2. #2
    Expert Confirmé
    Homme Profil pro
    Développeur informatique
    Inscrit en
    décembre 2008
    Messages
    805
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations professionnelles :
    Activité : Développeur informatique

    Informations forums :
    Inscription : décembre 2008
    Messages : 805
    Points : 2 650
    Points
    2 650

    Par défaut

    "Debian Squeezy."

    Euh... connaît pas. Squeeze, ok, Wheezy, ok, mais la? Bon je suppose que c'est Squeeze, vu que c'est la stable.

    Si c'est le cas, c'est une erreur, car Squeeze est en phase terminale: le gel de fonctionnalités dans wheezy dure depuis plusieurs mois déjà.
    Autre point non spéficié, l'attaque ne cible que kernel debian, ou également kfreebsd? Parce qu'il est important de préciser que dire Debian/linux serait erroné: cette distribution supporte plusieurs kernel (bien que je n'aie personnellement pas testé le 2nd) depuis Squeeze, justement.

    Si on se base sur le postulat (le plus probable) que c'est le kernel linux de Squeeze qui est attaqué, je me pose encore quelques questions:
    _ systemd est-il sensible à ce rootkit? Debian ne montre pas encore de signes de passer définitivement à systemd, mais cela reste une possibilité non négligeable (certes, pour dans 2 ans minimum)
    _ "l'outil", comment infecte-t-il une machine, en fait?

    Accessoirement, ce n'est pas linux qui est attaqué, mais debian stable.
    Debian est réputée pour sa stabilité, c'est vrai, mais aussi beaucoup pour le fait que la version stable ait des versions réellement anciennes des paquet...
    notamment un kernel en retard: 2.6.32
    Alors que la dernière est la 3.6, celle-ci n'est même pas packagée dans debian experimental (je l'ai dis: gel des paquets)

    En outre, chaque distribution intègre ses propres correctifs aux kernels, ce qui signifie que d'une distro à l'autre, une "même version" d'un noyau n'aura pas les mêmes vulnérabilités.

  3. #3
    Membre confirmé
    Inscrit en
    novembre 2004
    Messages
    129
    Détails du profil
    Informations personnelles :
    Âge : 33

    Informations forums :
    Inscription : novembre 2004
    Messages : 129
    Points : 299
    Points
    299

    Par défaut

    Je suis également interessé par plus d'information sur ce rootkit, et surtout sur les moyens de s'en proteger. Je vais passer sur Debian Sid (aussi connu sous le nom de Unstable... oui, j'aime le risque ) et je voulais savoir cette distro était vulnerable, ou si les versions actuels des paquets corrigent cette faille.

  4. #4
    Membre chevronné Avatar de Pilru
    Homme Profil pro
    Dev ASP.NET/jQuery ; Admin ORACLE
    Inscrit en
    septembre 2007
    Messages
    485
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations professionnelles :
    Activité : Dev ASP.NET/jQuery ; Admin ORACLE

    Informations forums :
    Inscription : septembre 2007
    Messages : 485
    Points : 791
    Points
    791

    Par défaut

    Il n'y a que root qui puisse ajouter un module kernel.
    Vu qu'aucun depôt Debian, à ma connaissance, a été déclaré compromis, ce rootkit ne peut donc pas être installé via les paquets officiels.

    Cela veut donc dire que :
    Soit la machine infecté a une faille qui permet a n'importe qui d'avoir les droits root ou d'en connaitre le mot de passe, et a partir de là, copier le module et le charger;
    Soit l'admin de la machine infectée a compilé/installé un soft provenant d'une source tiers ;

    Bref, pour que ce rootkit soit déployé, il faut que la machine soit déjà compromise ou que root fasse n'importe quoi.

  5. #5
    Expert Confirmé
    Homme Profil pro
    Développeur informatique
    Inscrit en
    décembre 2008
    Messages
    805
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations professionnelles :
    Activité : Développeur informatique

    Informations forums :
    Inscription : décembre 2008
    Messages : 805
    Points : 2 650
    Points
    2 650

    Par défaut

    Citation Envoyé par Pilru Voir le message
    Bref, pour que ce rootkit soit déployé, il faut que la machine soit déjà compromise ou que root fasse n'importe quoi.
    Citation Envoyé par crowdstrike
    However, considering the code quality, a custom privilege escalation exploit seems very unlikely.
    Effectivement.
    Au final, les seuls à dire que ce sont des techniques avancées sont les gens de kaspersky, et encore, un commentaire sur leur site qualifie de "bullshit" ce truc.

    Au final, le point "intéressant" semble être que certains s'attaquent à linux maintenant. Mais est-ce nouveau?
    Les attaques ciblées sur windows ont plus pour but de prendre le contrôle de réseaux zombie.
    Linux étant sur des serveurs en général, les attaques de ces zombies servent justement à casser du pingouin.

  6. #6
    Invité de passage
    Inscrit en
    mars 2011
    Messages
    32
    Détails du profil
    Informations forums :
    Inscription : mars 2011
    Messages : 32
    Points : 2
    Points
    2

  7. #7
    Membre régulier Avatar de dewind
    Homme Profil pro Erwin Sittie
    Développeur informatique
    Inscrit en
    février 2010
    Messages
    82
    Détails du profil
    Informations personnelles :
    Nom : Homme Erwin Sittie
    Localisation : Côte d'Ivoire

    Informations professionnelles :
    Activité : Développeur informatique
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : février 2010
    Messages : 82
    Points : 76
    Points
    76

    Par défaut

    Je suis pas super super en linux. Mais j'aimerais bien savoir comment il se comporte se malotru. lol
    Un geek est un bonz'homme qui croit que dans une heure il y a 1024 minutes!

  8. #8
    Invité de passage
    Inscrit en
    mars 2011
    Messages
    32
    Détails du profil
    Informations forums :
    Inscription : mars 2011
    Messages : 32
    Points : 2
    Points
    2

    Par défaut

    Citation Envoyé par dewind Voir le message
    Je suis pas super super en linux. Mais j'aimerais bien savoir comment il se comporte se malotru. lol
    Ca sent l'intox et la pub à plein nez.

    @pilru : +1

  9. #9
    Membre chevronné
    Homme Profil pro Jérôme Frossard
    Enseignant
    Inscrit en
    décembre 2007
    Messages
    192
    Détails du profil
    Informations personnelles :
    Nom : Homme Jérôme Frossard
    Âge : 41
    Localisation : Suisse

    Informations professionnelles :
    Activité : Enseignant
    Secteur : Enseignement

    Informations forums :
    Inscription : décembre 2007
    Messages : 192
    Points : 761
    Points
    761

    Par défaut

    Citation Envoyé par Pilru Voir le message
    Il n'y a que root qui puisse ajouter un module kernel.
    Ben oui, c'est pour ça que c'est un *Root*kit.... non, ne dites rien...

  10. #10
    Expert Confirmé Sénior
    Avatar de Katyucha
    Profil pro
    Ingénieur systèmes Linux/Unix/SAN
    Inscrit en
    mars 2004
    Messages
    3 275
    Détails du profil
    Informations personnelles :
    Localisation : Allemagne

    Informations professionnelles :
    Activité : Ingénieur systèmes Linux/Unix/SAN

    Informations forums :
    Inscription : mars 2004
    Messages : 3 275
    Points : 5 301
    Points
    5 301

    Par défaut

    On ne le répétera jamais assez... Root, c'est mal !
    Grave urgent !!!

  11. #11
    Membre émérite Avatar de messinese
    Homme Profil pro Jean-marie Bourbon
    IT Security Consultant
    Inscrit en
    septembre 2007
    Messages
    429
    Détails du profil
    Informations personnelles :
    Nom : Homme Jean-marie Bourbon
    Âge : 33
    Localisation : France, Paris (Île de France)

    Informations professionnelles :
    Activité : IT Security Consultant
    Secteur : High Tech - Produits et services télécom et Internet

    Informations forums :
    Inscription : septembre 2007
    Messages : 429
    Points : 859
    Points
    859

    Par défaut

    Bonjour,

    pour ceux dont la partie technique intéresse, des études apparaissent un peu partout sur la toile ou nombre de personnes ont étudiés son comportement et reversé son code sous IDA ce qui donne des analyses assez simpa comme ici ou encore la .

    Bonne lecture à tous !

  12. #12
    Membre émérite Avatar de SurferIX
    Homme Profil pro Olivier Pons
    Ingénieur développement logiciels
    Inscrit en
    mars 2008
    Messages
    447
    Détails du profil
    Informations personnelles :
    Nom : Homme Olivier Pons
    Âge : 40
    Localisation : France, Bouches du Rhône (Provence Alpes Côte d'Azur)

    Informations professionnelles :
    Activité : Ingénieur développement logiciels
    Secteur : High Tech - Multimédia et Internet

    Informations forums :
    Inscription : mars 2008
    Messages : 447
    Points : 996
    Points
    996

    Par défaut

    Citation Envoyé par ptah35 Voir le message
    Ben oui, c'est pour ça que c'est un *Root*kit.... non, ne dites rien...
    Tu as le détail technique en Anglais ici.

    Et comme un commentaire le précise si bien, c'est pourquoi je me pose des questions sur la validité de l'article : un rootkit est uniquement quelque chose qui permet de devenir root, et rien de plus, rien de moins. Une fois qu'on est root, là, oui, on peut "déposer" quelque chose comme ce programme. Il faut donc spécifier non pas comment le virus fonctionne, mais comment le rootkit fonctionne (deux fonctions, deux choses différentes).

    Je recite :

    BAReFOOtNovember 20, 2012 2:15 PM

    How is this a “rootkit"? You didn’t mention *any* form of infection. Apparently it is just an application you manually have to start as root, which then hooks itself into the system like a rootkit.

    Without infection mechanism, it’s not a rootkit. Let alone dangerous.

    N'hésitez pas à me corriger si je me trompe.
    "Ceci dit" est un non sens. Cf Wikipedia. C'est soit "cela dit", soit rien.
    Il ne faut pas oublier que la politesse et le respect sont mutuels.

    Dernières prestations de HQF Development:

  13. #13
    Membre éprouvé Avatar de rt15
    Homme Profil pro
    Développeur informatique
    Inscrit en
    octobre 2005
    Messages
    208
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 30
    Localisation : France, Savoie (Rhône Alpes)

    Informations professionnelles :
    Activité : Développeur informatique

    Informations forums :
    Inscription : octobre 2005
    Messages : 208
    Points : 440
    Points
    440

    Par défaut

    Non un rootkit n'est pas quelque chose permettant de devenir root.
    Citation Envoyé par wikipedia
    A rootkit is a stealthy type of software, often malicious, designed to hide the existence of certain processes or programs from normal methods of detection and enable continued privileged access to a computer.[1]
    Communément, on appelle généralement rootkit tout ce qui tourne en ring 0 (Donc généralement un driver) a des fins de piratage.
    Être exécuté en ring 0 permet d’accéder aux données d'exécution de l'OS (Par exemple la "vraie" liste des processus, la "vraie" liste des threads...)
    Le rootkit peut modifier ces données ou injecter du code pour remplacer (Mise en place de hook) des fonctionnalité de l'OS. Par exemple, il peut remplacer la fonction qui liste les fichiers par une autre fonction qui "oublie" un certain nombre de fichiers.

    Il faut généralement un niveau de privilège root pour installer un rootkit. On peut dire qu'un rootkit a plus de "privilèges" (Possibilités) qu'un processus avec un niveau de privilège root, car il a accès complet au noyau.

    Mais un rootkit ne sert pas à obtenir un niveau de privilège root. Pour cela il faut par exemple exploiter une faille (En utilisant un "exploit").

    Donc Linux est bien ciblé par un rootkit, mais on ne sait pas comment il est installé sur les machines infectées (Exploit, récupération du mot de passe par force brute ou autre...).

  14. #14
    Candidat au titre de Membre du Club
    Inscrit en
    mars 2011
    Messages
    25
    Détails du profil
    Informations forums :
    Inscription : mars 2011
    Messages : 25
    Points : 12
    Points
    12

    Par défaut

    Bonjour,

    J'ai vu cette bestiole trainer sur plusieurs sites, après un brève analyse j'ai trouvé 3 types de codes injectés.

    Le code le plus répandu à ce jours compte plus de 1 300 000 résultats sur google. Sur certain sites il ne se passe rien de spécial, alors que sur d'autre mon anti-virus détecte un trojan sur le site ...
    Ma requette utilisée est : https://www.google.fr/#hl=fr&tbo=d&s...w=1600&bih=744

    Si ça peut aider quelqu'un

  15. #15
    Membre habitué
    Profil pro
    Administrateur systèmes et réseaux
    Inscrit en
    octobre 2009
    Messages
    50
    Détails du profil
    Informations personnelles :
    Âge : 26
    Localisation : Belgique

    Informations professionnelles :
    Activité : Administrateur systèmes et réseaux

    Informations forums :
    Inscription : octobre 2009
    Messages : 50
    Points : 127
    Points
    127

    Par défaut

    En résumé, selon Kaspersky, ce serait un rootkit (comme les autres donc), avec des fonctionnalité pour se cacher plus poussée ? Donc juste un rootkit plus récent, plus performant apparemment.

    Ce sur quoi est mis l'accent, c'est la charge utile, qui semble ne pas viser le système lui même mais ses usagers et ses clients.

Liens sociaux

Règles de messages

  • Vous ne pouvez pas créer de nouvelles discussions
  • Vous ne pouvez pas envoyer des réponses
  • Vous ne pouvez pas envoyer des pièces jointes
  • Vous ne pouvez pas modifier vos messages
  •